Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
EDÖB
Leitfaden über Internet- und
E-Mail-Überwachung am
Arbeitsplatz
Für öffentliche Verwaltungen und
Privatwirtschaft
Juli 2009
Feldeggweg 1, 3003 Bern
Tel. 031 323 74 84, Fax 031 325 99 96
www.edoeb.admin.ch

Inhaltsverzeichnis
Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz................................................ 1
Inhaltsverzeichnis: ................................................................................................................................ 2
Einleitung: Das Surfen und die Überwachung................................................................................... 4
1. Die wichtigsten netzbasierten Anwendungen ................................................................... 5
1.1 Anwendungen ohne inhaltliche Speicherung.......................................................................... 5
1.2 Anwendungen mit inhaltlicher Speicherung............................................................................ 5
2. Tangierte Interessen des Arbeitgebers .............................................................................. 6
3. Technische und organisatorische Schutzmassnahmen 4 ................................................. 8
4. Beim Surfen hinterlassene Spuren ................................................................................... 11
5. Das Nutzungsreglement über privates Surfen und Mailen............................................. 14
6. Gesetzliche Grundlagen der Überwachung ..................................................................... 16
7. Die wichtigsten rechtlichen Voraussetzungen für die Überwachung des Surfens
und der E-Mail-Nutzung...................................................................................................... 18
7.1 Die vorherige Information...................................................................................................... 18
7.2 Die Feststellung eines Missbrauches ................................................................................... 19
8. Die Überwachung des Surfens und der E-Mail-Benutzung am Arbeitsplatz ................ 20
8.1 Überwachung im Rahmen der Gewährleistung der Sicherheit und der
Funktionstüchtigkeit des betrieblichen EDV-Systems .......................................................... 20
8.2 Überwachung aufgrund anderer Hinweise............................................................................ 20
8.3 Überwachung aufgrund der Auswertungen der Protokollierungen....................................... 21
8.4 Die Überwachung aufgrund der Auswertungen der Surfprotokollierungen .......................... 22
8.4.1 Erste Phase: Nichtpersonenbezogene Überwachung ................................................................ 22
8.4.2 Zweite Phase: Personenbezogene Überwachung....................................................................... 22
8.5 Die Überwachung des E-Mail-Verkehrs................................................................................ 23
8.5.1 Die Überwachung des privaten e-Mail-Verkehrs.......................................................................... 23
8.5.1.1 Vorgehensweise.................................................................................................................... 24
8.5.2 Die Überwachung des geschäftlichen E-Mail-Verkehrs........................................................ 24
8.5.2.1 Die E-Mail-Verwaltung während Abwesenheiten.................................................................. 25
8.5.2.2 Die E-Mail-Verwaltung beim Austritt eines Angestellten....................................................... 25
8.5.3 Besondere Fälle der E-Mail-Überwachung ................................................................................... 25
8.6 Teleworker ............................................................................................................................ 26
9. Die Überwachung im Falle einer Straftat .......................................................................... 27
10. Sanktionen bei Missbrauch ............................................................................................... 28
11. Ansprüche des Arbeitnehmers bei unzulässiger Überwachung ................................... 30
Anhang A: Situationsschema...................................................................................................... 31
Anhang B: Voraussetzungen und Ablauf .................................................................................. 32
B.1 Die Voraussetzungen der Überwachung .............................................................................. 32
B.2 Der Ablauf der Überwachung................................................................................................ 33
B.3 Das Auswertungsverfahren................................................................................................... 34
Anhang C: Musterreglement über die Surfen- und E-Mail-Überwachung am Arbeitsplatz .. 35
C.1 Zweck und Geltungsbereich ................................................................................................. 35
C.1.1 Zweck ................................................................................................................................................. 35
C.1.2 Geltungsbereich ................................................................................................................................ 35
C.2 Interessen und Risiken des Arbeitgebers und Arbeitnehmers.............................................. 35
C.2.1 Interessen und Risiken des Arbeitgebers ..................................................................................... 35
C.2.2 Interessen und Risiken des Arbeitnehmers .................................................................................. 35
2/42

C.3 Technische Schutzmassnahmen und Protokollierungen...................................................... 36
C.3.1 Technische Schutzmassnahmen.................................................................................................... 36
C.3.2 Protokollierungen .............................................................................................................................. 36
C.4 Nutzungsregelung ................................................................................................................. 36
C.5 Überwachungsregelung ........................................................................................................ 37
C.5.1 Vorrang technischer Schutzmassnahmen .................................................................................... 37
C.5.2 Auswertung der Protokollierungen ................................................................................................. 37
C.5.3 Überwachung im Rahmen der Gewährleistung der Sicherheit und Funktionstüchtigkeit
des betrieblichen EDV-Systems oder aufgrund anderer Hinweise ........................................... 38
C.5.4 Unterscheidung zwischen private und geschäftliche E-Mails .................................................... 38
C.5.5 Die Überwachung des geschäftlichen E-Mail-Verkehrs.............................................................. 38
C.5.6 Die E-Mail-Verwaltung bei Abwesenheiten eines Mitarbeiters .................................................. 39
C.5.7 Die E-Mail-Verwaltung beim Austritt eines Mitarbeiters.............................................................. 39
C.5.8 Sanktionen bei Missbrauch ............................................................................................................. 39
C.5.9 Ansprüche des Mitarbeiters bei unzulässiger Überwachung durch die Firma......................... 40
C.5.10 Weitere Bestimmungen.................................................................................................................... 40
Anmerkungen ...................................................................................................................................... 41
3/42

Einleitung: Das Surfen und die Überwachung
Der Einzug der neuen Technologien in die Arbeitswelt hat Produktivität und Qualität eines Unternehmens
gesteigert, brachte aber gleichzeitig weniger erfreuliche Phänomene mit sich: Unerlaubtes oder
übermässiges Surfen und E-Mailen während der Arbeitszeit schadet den Unternehmen nicht nur finanziell,
sondern kann auch den ganzen Datenverkehr eines Betriebs lahm legen, die Speicherkapazität
überfordern oder sogar den gesamten elektronischen Arbeitsplatz blockieren. Darüber hinaus kann das
Besuchen illegaler Internetseiten für das Unternehmen nicht nur rufschädigend sein, sondern auch
rechtliche Konsequenzen haben. Die Schutzmassnahmen, die der Arbeitgeber gegen Missbräuche des
Surfens oder des E-Mails einsetzt, sind oft nicht weniger zweifelhaft. Spionprogramme und permanente
namentliche Auswertungen der Protokollierungen sind verbotene Beschnüffelungen der Arbeitnehmer.
Ein Umdenken ist gefordert: Der Arbeitgeber hat seine Bemühungen auf die technische Prävention zu
konzentrieren. Statt die Arbeitnehmer zu überwachen soll er technische Schutzmassnahmen einsetzen,
die unerwünschtes Surfen in Grenzen halten und das Unternehmen vor technischem Schaden schützen.
Nur wenn ein Missbrauch so nicht verhindert werden kann, darf er nach vorheriger Information im Überwachungsreglement
namentliche Auswertungen der Protokollierungen vornehmen. Fehlt ein Missbrauch
und eine vorherige Information, dürfen die Internet- und E-Mail-Protokollierungen nur in anonymer oder
pseudonymer Weise ausgewertet werden. Der Arbeitgeber muss sich aber auch die Frage stellen, ob
und in welchem Umfang ein Internetzugang für jeden Arbeitnehmer notwendig ist. Gegebenenfalls kann
das E-Mail ohne Surfmöglichkeit zur Verfügung gestellt werden. Es darf auf jeden Fall nicht ausser Acht
gelassen werden, dass durch Verbund der Firma mit dem Internet oder E-Mail Kontakt- und Angriffsmöglichkeiten
von der Aussenwelt geschaffen werden.
Der Gesetzgeber hat sich mit den Rechten und Pflichten von Arbeitgeber und Arbeitnehmer in dieser
Thematik bis heute kaum auseinander gesetzt. Dieser Leitfaden soll einerseits die betroffenen Personen
sensibilisieren, andererseits den Gesetzgeber zur Schaffung der nötigen gesetzlichen Grundlagen anspornen.
Der Leitfaden setzt sich zunächst mit den wichtigsten netzbasierten Anwendungen, deren Spuren sowie
den tangierten Interessen des Arbeitgebers und den entsprechenden technischen Schutzmassnahmen
auseinander. Anschliessend werden die heutigen gesetzlichen Grundlagen, die Voraussetzungen und
der Ablauf der Internet- und E-Mail-Überwachung erörtert. Zum Schluss wird auf die Folgen missbräuchlicher
Internetnutzungen und -überwachungen hingewiesen. Situations- und Ablaufschemas sowie ein
Musterreglement im Anhang stellen die wichtigsten Punkte übersichtlich dar.
4/42

1. Die wichtigsten netzbasierten Anwendungen
Das Internet bietet eine Vielzahl von Anwendungen, die allgemein Internetdienste genannt werden, jedoch
auch firmeninterne Netzdienste (Intranet) umfassen. Diese sogenannten netzbasierten Anwendungen
können in zwei grösseren Kategorien unterteilt werden, diejenigen ohne und diejenigen mit inhaltlicher
Speicherung auf einem Datenträger.
1.1 Anwendungen ohne inhaltliche Speicherung
Unter Anwendungen ohne inhaltliche Speicherung auf einem Datenträger fällt zunächst das klassische
Surfen auf dem World Wide Web, d. h. das Sichten von Webseiten, die auf unterschiedlichen Rechnern
(Web Server) abgelegt sind und über eine eigene Adresse (URL 1 ) direkt abgerufen werden können.
Das Surfen ermöglicht ausserdem die Verwaltung von E-Mails in Briefkasten (webbased E-Mail), welche
bei Internetdienstanbietern (ISP: Internet Service Providers) beherbergt sind. Spezielle Suchmaschinen
wie Altavista oder Google ermöglichen eine Art Volltextsuche in einer weltweiten Datenbank nach benutzerdefinierten
Kriterien. Von multimedialem Surfen spricht man dann, wenn Audio- und Videoquellen
sowie die Telephonie (VoIP: Voice over IP) netzbasiert sind.
Die sogenannten Newsgroups stellen öffentliche Diskussionsforen dar. Sie beruhen auf dem Prinzip
des «Schwarzen Bretts» und werden daher als elektronische Pinnwand bezeichnet. Alle Teilnehmenden
einer Newsgroup können Nachrichten abgeben, die dann von allen Internetnutzern abgerufen, gelesen
oder beantwortet werden können.
Beim Internet Relay Chat (IRC) und beim Instant Messaging findet über die Tastatur des Computers
ein gesprächsartiger Meinungsaustausch in Echtzeit statt. Allen Teilnehmenden des Chat wird ein Name,
meistens ein Pseudonym, zugewiesen, der es ermöglicht zu erkennen, von wem die Beiträge
stammen.
1.2 Anwendungen mit inhaltlicher Speicherung
Bei Anwendungen mit inhaltlicher Speicherung auf einem Datenträger geht es hauptsächlich um das
Herunterladen von Dateien (Download) mittels Protokollen wie HTTP oder FTP. Klassische Beispiele
hierfür sind Freeware/Shareware-Anwendungsprogramme wie Spiele oder Mediadateien (Bilder, Audio
oder Video).
In diese Kategorie gehört zudem das Empfangen und Versenden von Nachrichten mit elektronischer
Post, dem sogenannten E-Mail. Auf diese Weise können Texte, gegebenenfalls mit angehängten Dateien
aller Art, gezielt an andere Netzteilnehmende übermittelt werden.
Ohne Inhaltsverschlüsselung ist die Vertraulichkeit der E-Mails mit derjenigen einer Postkarte vergleichbar,
weshalb die «sensiblen» Inhalte durch den Benutzer verschlüsselt werden müssen.
Beteiligt sich der Arbeitnehmer an einer Mailing-List mit seiner geschäftlichen E-Mail-Adresse, so wird
dadurch die Speicherkapazität und den Netzwerkdurchsatz (throughput) der Firma sowie die Arbeitszeit
des Arbeitnehmers beansprucht.
5/42

2. Tangierte Interessen des Arbeitgebers
Durch Benutzung des vernetzten Computers am Arbeitsplatz können bestimmte Interessen und technische
Einrichtungen des Arbeitgebers beeinträchtigt werden. Dies betrifft folgende Bereiche:
• Speicherkapazität und Netzwerkdurchsatz, durch übermässige Surfen- und E-Mail-Nutzung;
• Daten- und Anwendungssicherheit (Verfügbarkeit, Integrität, Vertraulichkeit), durch Einfuhr von Viren,
Würmern, Trojanischen Pferden oder Installation von fremden Programmen;
• Arbeitszeit und andere finanzielle Interessen (Produktivitätsverluste, Kostensteigerung für zusätzliche
Mittel und/oder Leistungen, Netzkosten, usw.);
• weitere rechtlich geschützte Interessen des Arbeitgebers, wie Ruf, Fabrikations- und Geschäftsgeheimnisse
oder Datenschutz.
Die Speicherkapazität wird hauptsächlich durch heruntergeladene Dateien oder E-Mails beansprucht
(vgl. Kapitel 1).
In der Regel verbleiben ein- und ausgehende E-Mails in einem elektronischen Briefkasten eines Firmenservers,
wo sie der Arbeitnehmer entweder speichern oder löschen kann, nachdem er sie gelesen bzw.
verschickt hat. Die Speicherung betrifft einerseits protokollierte Randdaten wie Absender, Empfänger,
Betreffzeile oder Datum, anderseits den Inhalt des E-Mails. Durch angehängte Dokumente (Anlagen)
wird die Speicherkapazität der Firma zusätzlich belastet. Die (logische) Löschung von E-Mails erfolgt
durch ihre Verschiebung in den Ordner «gelöschte Objekte». Die «definitive» Entfernung aus diesem
Ordner erfolgt durch einen weiteren Löschungsbefehl.
Der Netzwerkdurchsatz wird hingegen sowohl bei den Anwendungen mit als auch bei denen ohne inhaltliche
Speicherung beansprucht.
Durch Installation fremder Programme wie heruntergeladene Bildschirmschoner oder Spiele können berufliche
Anwendungen unzugänglich gemacht (Verfügbarkeit) oder gefälscht (Integrität/Vertraulichkeit)
werden.
Die Hauptkategorien von Computerinfektionen sind Viren, Würmer und Trojanische Pferde.
Ein Virus ist ein Programmstück, das sich vervielfacht, in andere Programme hineinkopiert und zugleich
schädliche Funktionen in einem Rechnersystem ausführen kann 2 . Viren werden von externen Quellen
wie E-Mails, Disketten, Spiele oder Freeware eingeführt. Bestimmte Virenarten zerstören beispielsweise
die Integrität einer Datei, indem sie Buchstaben ändern, andere können die gesamte Datei zerstören.
Dadurch kann u. U. die Funktionstüchtigkeit des Computers gefährdet werden (z. B. durch Zerstörung
des Bootsektors).
Ein Wurm ist ein eigenständiges Programm, das sich selbst durch Kopieren von einem System zum
nächsten fortpflanzt, üblicherweise über ein Netzwerk. Ein Wurm kann, wie ein Virus, Daten direkt zerstören
oder die Systemleistung heruntersetzen. Im weiteren schaden Würmer typischerweise, indem sie
Trojanische Pferde übertragen.
6/42

Mit Hilfe dieser Trojanischen Pferde können z.B. Passwörter gestohlen werden, die es dann ermöglichen,
Daten unerlaubterweise anzusehen, weiterzuleiten, zu verändern oder zu löschen. Ein Trojanisches
Pferd ist ein eigenständiges Programm, das vordergründig eine vorgesehene Aufgabe verrichtet,
zusätzlich jedoch eine oder mehrere verborgene Funktionen enthält 3 . Wenn ein Benutzer das Programm
aufruft, führt das Trojanische Pferd zusätzlich eine ungewollte sicherheitskritische Aktion aus. Die meisten
Spionprogramme (vgl. Kapitel 4) gehören auch zu den Trojanischen Pferden.
Die Benutzung des Computernetzes verursacht in unterschiedlicher Weise Kosten, entweder pauschal
oder zeit- und/oder volumenabhängig. Im Falle der Pauschaltariflösung (Mietleitung) spielt es für die effektiven
Kosten keine Rolle, wie lange jemand surft, wohl aber im Zusammenhang mit der verwendeten
Arbeitszeit. Eine erhöhte Bandbreitenkapazität kann ausserdem erforderlich sein.
Weitere Kosten für den Arbeitgeber können durch die Nutzung von kostenpflichtigen Web-Angeboten
entstehen, wenn der Zugriff in dessen Namen bzw. mit dessen Kreditkarte erfolgt. Arbeitnehmer können
auch bewusst oder unbewusst im Namen der Firma im Internet Rechtsgeschäfte abschliessen und den
Arbeitgeber dadurch verantwortlich machen.
Fabrikations- und Geschäftsgeheimnisse sowie der Datenschutz der Firma können auch gefährdet
werden, z. B. wenn vertrauliche Informationen per E-Mail an Unberechtigte versendet werden. Diese
Gefahr wird erhöht durch den zunehmenden Einsatz von portablen Arbeitsinstrumenten wie Laptops,
Personal Digital Assistants oder Handys. Die nachstehend erwähnten technischen Schutzmassnahmen
finden bei diesen Geräten nur beschränkte Anwendung. Zusätzlich besteht die Gefahr, Geschäftsgeheimnisse
zu verlieren, da tragbare Geräte leicht vergessen oder gestohlen werden können.
7/42

3. Technische und organisatorische Schutzmassnahmen 4
Es gibt keine absolute technische Sicherheit. Technische Schutzmassnahmen (vgl. Anhang A) können
jedoch die Risiken im Zusammenhang mit der Internet- und E-Mail-Nutzung reduzieren.
Durch den Einsatz von solchen Schutzmassnahmen soll der Arbeitgeber frühzeitig mögliche Gefahren
für die Sicherheit und Funktionstüchtigkeit des elektronischen Systems verhindern. Die präventive Wirkung
dieser Massnahmen soll den Einsatz repressiver Mittel wie die Überwachung (vgl. Kap. 8) weitgehend
ersetzen. Zu den wichtigsten technischen Schutzmassnahmen gehören Passwort- und Zugriffsschutz,
Antivirus- und Diskquotamanagers, Backups und Firewalls. Zusätzlich sollen die Surf- und Mailprogramme
nach dem letzten Stand der Technik 5 installiert und in einer sicherheitsmässigen Form konfiguriert
und regelmässig aktualisiert werden 6 .
Das Passwort dient der Authentifizierung des Benutzers. Als solches darf es nicht Dritten übertragen
werden, muss eine genügende Komplexität aufweisen und regelmässig geändert werden. Der Passwortschutz
wird nach Ablauf einer bestimmten, beschränkten Dauer (z. B. fünf Minuten) durch den Bildschirmschoner
aktiviert, um eine Reauthentifizierung zu provozieren. In Anbetracht der Vielzahl Passwörter,
welche von einem einzigen Benutzer memorisiert werden müssen, ist die Benutzung einer verschlüsselten
Passwortdatenbank statt einer Passwortliste in Papierform zu empfehlen. Solche Softwarelösungen
sind heutzutage geläufig. Das Passwort zum Einstieg in die Passwortdatenbank muss durch
den Benutzer memorisiert werden.
Der Zugriffsschutz besteht in der benutzerspezifischen Vergabe von Berechtigungen (Lesen, Schreiben/Mutieren,
Ausführen, Löschen) zu schützenswerten Daten oder Objekten. In der Praxis wird eine
Matrix geschaffen, welche für jedes Datenobjekt und jede Benutzerrolle die entsprechenden Zugriffsberechtigungen
definiert. Die Zugriffsrechte sind arbeitnehmerspezifisch und werden durch die dafür Verantwortlichen
(in der Regel Vorgesetzte oder Teamchefs) vergeben. Die Zugriffsrechte werden dann
durch den Systemadministrator oder einen anderen mit dieser Aufgabe beauftragten Arbeitnehmer im
System implementiert.
Für besonders schützenswerte Daten (Art. 3 lit. c Datenschutzgesetz, DSG, SR 235.1) ist überdies eine
Verschlüsselung empfehlenswert. Diese dient dazu, die Vertraulichkeit und Integrität der Daten zu gewährleisten.
Die symmetrische Kryptographie benutzt den gleichen Schlüssel sowohl für die Verschlüsselung
als auch für die Entschlüsselung. Der Schlüssel setzt einen sicheren Austauschkanal voraus
und gilt bei einer Mindestlänge von 128 bits heutzutage als sicher. Im Gegensatz dazu benutzt die
asymmetrische Kryptographie einen öffentlichen (frei zugänglichen) Schlüssel für die Verschlüsselung
und einen privaten (passwortgeschützten) Schlüssel für die Entschlüsselung der Daten. Überdies wird
der private Schlüssel für die elektronische Unterschrift und der öffentliche Schlüssel für die Verifizierung
der Integrität und Herkunft der Daten verwendet. Die asymmetrische Kryptographie setzt eine Public-Key
Infrastruktur (PKI) zur Zertifizierung der öffentlichen Schlüssel voraus und gilt bei einer Mindestlänge der
Schlüsselpaare von 1024 bits heutzutage als sicher.
Das kryptographische Verfahren kann nur so sicher wie die Schlüssel selber sein. Werden die Schlüssel
unsicher aufbewahrt, gilt das darauf basierende kryptographische Verfahren auch als unsicher.
Die Verschlüsselung ist nicht nur für die Übertragung (SSL, WEP, usw.), sondern auch für die Speicherung
der ausgetauschten Daten empfehlenswert. Der Austausch von verschlüsselt gespeicherten Daten
setzt keinen verschlüsselten Übertragungskanal mehr voraus. Bei verschlüsselt gespeicherten Daten
besteht aber das Risiko, dass sie nicht jederzeit entschlüsselt werden können (z. B. Passwort- und/oder
Schlüsselverlust, Abwesenheit des Schlüsselinhabers).
8/42

Deswegen ist das Bedürfnis eines zusätzlichen Entschlüsselungsschlüssels (Additional Decryption Key
[ADK] und Corporate Message Recovery Key [CMRK]) abzuklären und allenfalls den Interessierten mitzuteilen.
Die Datenverschlüsselung wird immer mehr als Ergänzung der gewöhnlichen Zugriffsberechtigungen
angewendet. Unter diesen Umständen verfügen die Systemadministratoren nicht mehr unbedingt über
alle Berechtigungen.
Ohne Verschlüsselung entspricht die Vertraulichkeit eines E-Mails derjenigen einer Postkarte.
Antivirusprogramme ermöglichen, Viren aufzuspüren und in der Regel auch zu entfernen. Sie müssen
den aktuellen Virendatenbanken der neusten Softwareversion entsprechen und auf jedem Arbeitsplatz
aktiv sein. Bei der Benutzung von internetbasierten E-Mail-Diensten muss das Antivirusprogramm auf
dem Computer des Arbeitnehmers installiert werden, da eine Überprüfung des E-Mail-Inhaltes erst beim
Endbenutzer technisch möglich ist. Bei der Benutzung von internetbasierten E-Mail-Diensten wird die
Gefahr der Virusinfektion nicht bedeutend grösser als bei der Benutzung des geschäftlichen E-Mail-
Programmes.
Lizenzierte, richtig installierte Antivirusprogramme der letzten Generation lassen sich oft via Internet automatisch
aktualisieren. Wenn es technisch nicht möglich ist, einen Virus zu entfernen, gestattet die regelmässige
Datensicherung auf Backups die Wiederherstellung virenfreier Dateien. Zu bemerken ist,
dass Antivirusprogramme per Definition keine absolute Sicherheit gegenüber Angriffe anbieten. Deshalb
sind auch weitere Schutzmassnahmen wie Spyware Blaster, Detector empfehlenswert.
Diskquotamanagers sind Programme, welche im Betriebsystem installiert werden und die Speicherkapazität
(Files und Mailboxes) jedes Benutzers begrenzen. Dies führt zu einer Selbstbeschränkung, da
eine Erweiterung des Speicherraumes begründet werden muss. Durch Diskquotas werden unnötige Überlastungen
der Speicherkapazität vermieden, womit eine Intervention des Arbeitgebers in diesen persönlichen
Räumen nicht mehr notwendig ist. Im Gegensatz zu Diskquotas eignet sich die Sperrung von
E- Mails mit einer bestimmten Grösse als technische Schutzmassnahme kaum, da sie durch Aufteilen
der betreffenden E-Mail-Anlagen leicht umgangen werden kann. Die Diskquotas sind arbeitnehmerspezifisch
und werden durch die dafür Verantwortlichen (in der Regel Vorgesetzte oder Teamchefs) vergeben.
Sie werden dann durch den Systemadministrator implementiert.
Backups dienen der raschen und möglichst vollständigen Wiederherstellung verloren gegangener Daten.
Die entsprechenden Datenträger müssen (brand-, wasser-, strahlungs-, diebstahls-) sicher und während
einer bestimmten, zum Voraus festgelegten Dauer aufbewahrt werden. Backups stellen eine Protokollierung
dar und sollten somit nur mit Vorsicht ausgewertet werden.
Backups des E-Mail-Servers sind nicht empfehlenswert, da dadurch auch private E-Mails tangiert werden
können. Deshalb sind private E-Mails auf einem anderen Datenträger zu speichern, damit Backups
problemlos vorgenommen werden können.
Firewalls schützen die eigenen Daten vor externen Angriffen 7 und verhindern, dass Netzwerkbandbreite
und Arbeitszeit übermässig beansprucht werden. Sie werden meist auf Netzebene zwischen Internet,
Intranet und gegebenenfalls einer «demilitarisierten» Zone (DMZ, wo sich die firmeninternen Internetserver
befinden) eingesetzt und filtern den Datenverkehr in beide Richtungen nach USERID, IP-Adresse
oder Applikationsprotokolle 8 . Die Konfiguration des Firewalls ist komplex, setzt spezifische Kenntnisse
voraus und darf nur durch Fachleute durchgeführt werden. Die Firewall kann mit einer sogenannten
Sperrliste erweitert werden. Diese enthält unerwünschte, vom Hersteller oder vom Arbeitgeber definierte
URLs. Eine andere Möglichkeit besteht in einer Positivliste, die lediglich diejenigen Internet-Adressen
elektronisch freigibt, die notwendig sind, um die Aufgaben für die Firma zu erfüllen.
9/42

Als Ergänzung zu den genannten Hardware-Firewalls werden heute auch bei den einzelnen Arbeitsstationen
sogenannte Personal Firewalls in Softwareform installiert. Da diese technischen Schutzmassnahmen
eine absolute Sicherheit nicht gewährleisten können, werden oft sogenannte Intrusion Detection
Systems (IDS) sowohl auf Netz- als auch auf Server-, gegebenenfalls auf Client-Ebene eingesetzt. Der
Einsatz eines solchen Systems unterstützt die Aufdeckung von Missbräuchen oder Attacken. Der Einsatz
von wissensbasierten IDS ist jedoch ein Zeichen der erkannten Unwirksamkeit der getroffenen Sicherheitsmassnahmen.
Für das Herunterladen von Dateien durch FTP, HTTP oder E-Mail-Anhänge kann sich die Sperrung
auch auf bestimme Dateiformate (.EXE, MP3, .BAT, usw.) beziehen. Die Wirksamkeit solcher Sperrungen
muss jedoch relativiert werden, da gewisse Formate, wie z. B. die komprimierte Archivdatei. ZIP, in
der Regel selber nicht gesperrt sind, aber gesperrte Dateiformate enthalten können.
Der Einsatz eines Modems bei einer laufenden Arbeitsstation kann die ganze Firewallsicherheit umgehen,
indem sich ein Fremdbenutzer ins Firmennetz unbefugterweise und unbemerkt einschleust. Ohne
genügende Schutzmassnahmen kann die Firewallsicherheit heutzutage auch durch Einsatz drahtloser
Verteiler (Wireless Access Points) umgangen werden. Es empfiehlt sich demzufolge, die Datenübermittlung
mittels WEP-Protokoll (Wired Equivalent Privacy) oder WPA-Protokoll (Wi-Fi Protected Access) zu
verschlüsseln.
Durch den Einsatz angemessener technischer Schutzmassnahmen sollten nur selten konkrete technische
Störungen vorkommen.
10/42

4. Beim Surfen hinterlassene Spuren
Die meisten modernen, gemeinsam benutzten Informatikmittel (z. B. Server, Datenbanken oder Drucker)
führen ein Logbuch (Protokollierungen) über die wichtigsten durchgeführten Aktivitäten durch (vgl. Anhang
A).
Die Spuren, die bei der Benutzung netzbasierter Anwendungen hinterlassen werden, bestehen in der
Regel lediglich aus Randdaten wie «wann hat wer was getan» und eher selten aus reinen Inhaltsdaten.
Unter Protokollierung versteht man eine fortlaufende Aufzeichnung dieser Daten. Ob Protokollierungen
eingesetzt werden dürfen, wer und wie lange darauf Zugriff hat, muss nach den Kriterien der Zweck- und
Verhältnismässigkeit entschieden werden. Ein Hinweis auf jede eingesetzte Protokollierung, deren
Zweck, Inhalt und Aufbewahrungsdauer sollte aus Transparenzgründen im internen Überwachungsreglement
erwähnt werden. Wenn präventive Massnahmen den Schutz sensibler Personendaten nicht gewährleisten,
können Protokollierungen notwendig sein (Art. 10 Verordnung zum Datenschutzgesetz,
VDSG, SR 235.11).
Weiter ist zu bemerken, dass Protokollierungen bedarfsspezifisch konfiguriert werden können. Typischerweise
werden die Protokollierungen vom Systemadministrator auf eine niedrige Stufe konfiguriert,
um die Menge der protokollierten Daten einzudämmen. Erst wenn detailliertere Informationen nötig sind
(z. B. im Falle einer Systemstörung), wird die Konfigurationsstufe für die entsprechende, zeitlich beschränkte
Periode erhöht. Da Protokollierungen beträchtliche Grössen annehmen, können sie kaum ohne
automatisierte Verfahren ausgewertet werden (vgl. Kapitel 8.1).
Da die Protokolle in der Regel schnell sehr gross werden, ist es empfehlenswert, automatische Auswertungstools
mit anonymisiertem Ergebnis vorzusehen. Darüber hinaus sind personenbezogene Protokollierungen
als Datensammlungen gemäss Art. 11 DSG beim Eidg. Datenschutz- und Öffentlichkeitsbeauftragten
anzumelden. Private Personen oder Firmen müssen die Protokollierungen nur anmelden, wenn
für das Bearbeiten keine gesetzliche Pflicht besteht und die betroffenen Personen davon keine Kenntnis
haben. Die Aufbewahrungsdauer der Protokollierungen steht in direktem Zusammenhang mit ihrem
Zweck und muss im Nutzungs- und Überwachungsreglement transparent mitgeteilt werden. Dem Arbeitgeber
obliegt keine gesetzliche Aufbewahrungspflicht im Zusammenhang mit Protokollierungen. Im
Rahmen von Sanktionsverfahren oder Strafverfolgungen dürfen sie bis zu deren Beendigung aufbewahrt
werden. Sonst sind Protokollierungen in der Regel nach Ablauf von vier Wochen zu vernichten.
Die für die Überwachung des Arbeitnehmers relevanten Protokollierungen können hauptsächlich an vier
verschiedenen Stellen stattfinden: Auf dem Computer des Benutzers, auf Intranet-Servern, auf Netzkopplungselementen
und auf DMZ-Servern (vgl. Anhang A).
Die bei Internet-Dienstanbietern bestehenden Protokollierungen können im Falle einer Straftat und unter
richterlicher Entscheidung untersucht werden. Überdies kann eine Inhaltsaufnahme angeordnet werden.
Auf dem Computer des Benutzers können durch den unzulässigen Einsatz von sogenannten Spionprogrammen
9 (vgl. Kapitel 6) sämtliche Aktivitäten festgehalten werden. Überwachungsprogramme werden
in der Regel ohne Information der betroffenen Personen eingesetzt und ermöglichen eine permanente
und detaillierte Überwachung sämtlicher Aktivitäten des Arbeitnehmers an seinem elektronischen Arbeitsplatz.
Insbesondere gestatten sie die Einsicht in E-Mails, indem diese registriert und dann an eine
Drittadresse weitergeleitet werden. Auch das «Fotographieren» bzw. «Kopieren» des Bildschirms in regelmässigen
Zeitabständen (recurrent screenshots) mit seinem gesamten Inhalt (z. B. Internetseiten)
gehört zu den Fähigkeiten von Spionprogrammen. Das Erfassen sämtlicher Tastenschläge (z. B. durch
Einsatz eines Hardware Keylogger), das Erlangen von Passwörtern, die Ansicht sämtlicher aktiver An-
11/42

wendungen, der Zugriff auf die Festplatte des PC, das Abhören von abgespielten Audiodateien am PC,
usw. sind weitere Fertigkeiten solcher Programme. Überwachungsprogramme ermöglichen auch die
Speicherung der erlangten Aufnahmen und Informationen. Eine weitere Bearbeitung dieser Daten, z. B.
in Form einer Datenbekanntgabe an Dritte, ist möglich.
Die beim Surfen abgerufenen oder heruntergeladenen Informationen werden meist nur temporär auf der
lokalen Festplatte gespeichert. Diese temporäre Speicherung (Cache) wird aber nicht vom Benutzer,
sondern von der Anwendung aus Leistungsgründen ausgelöst. Sowohl diese temporäre Dateien als
auch permanente Randdaten wie «Cookies», Verlauf und Autovervollständigungsdaten können vom Benutzer
gesperrt oder gelöscht werden, um einen persönlichen Beitrag zum Schutz der Speicherkapazität
und teilweise der eigenen Privatsphäre zu leisten. Ideal ist, wenn die temporären Dateien (Temp File)
beim Schliessen des Browsers oder beim Ausschalten des Computers automatisch gelöscht werden.
Auf Intranet-Servern wie Domäne-Servern besteht die Protokollierung aus Benutzernamen (wer), Datumsangaben
(wann), Gegenständen und Handlungen wie Ein- und Ausloggen, Ausdrucken von Dateien,
dynamische IP-Adressenvergabe, DNS-Adressenauflösung (Domain Name System) und Applikationsaufruf
(was). Die IP-Adressen der Benutzercomputern können entweder statisch/endgültig von einem
Netzwerkadministrator oder dynamisch/vorläufig von einem Netzwerkdienstserver vergeben werden. Im
letzteren Fall befindet sich eine chronologische Korrespondenzliste zwischen vergebener IP-Adresse
und eingelogtem Arbeitnehmer nur im Protokoll des DHCP-Servers (Dynamic Host Configuration Protocol).
Missbräuchliche Aktivitäten können aber unter dem Namen/Account eines unschuldigen Arbeitnehmers
von bösartigen Kollegen ausgeführt worden sein. Für solche Fälle ist in erster Linie der Arbeitnehmer
für den eigenen Account verantwortlich (rasche Einschaltung des Bildschirmschoners und
Reauthentifizierung).
Abgerufene Internet-Seiten und heruntergeladene Dateien können Gegenstand der von einem Proxy-
Server verwalteten Zwischenspeicherung sein und stellen somit einen beobachtbaren Schnappschuss
der letzterfolgten Surfaktivitäten dar. Jeder weitere Zugriff auf einer dieser Dateien durch andere Arbeitnehmer
erfolgt direkt beim Proxy-Server. Somit erübrigt sich ein neuer Zugriff auf das Internet und die
Netzbandbreite bleibt gespart. Dadurch könnte man aber die Nachvollziehbarkeit gewisser Surfaktivitäten
verlieren, obschon der Proxy-Server seine eigenen Aktivitäten (Cache- und Filterfunktion) gänzlich
protokollieren kann. Dabei ist zu beachten, dass eine URL ein Randdatum ist, dessen Inhalt in der Regel
nachträglich wieder abrufbar und darstellbar ist.
Auf Netzkopplungselementen wie Firewall oder Router werden in Prinzip eine Zeitangabe, die Quell-
und Ziel-IP-Adressen, das verwendete Applikationsprotokoll wenn nicht sogar die abgerufene Seite und
den Benutzernamen protokolliert. Zu den Quelladressen muss man noch daran denken, dass eine NAT-
Funktion (Network Address Translation) optional einsetzbar ist. Die intern verwendeten IP-Adressen
werden dynamisch in extern bekannte aber unschädliche Adressen umgewandelt, um sich vor externen
Attacken zu schützen. Die Interpretation der Protokolle kann infolgedessen verkompliziert werden.
Auf Netzwerkebene können sogenannte Sniffer-/Scannergeräte von einem Administrator eingesetzt
werden, um eine detaillierte Abhörung der übertragenen Datenpakete (Rand- und Inhaltsdaten) zu
erstellen. Eine solche Abhörung ist erst problematisch, wenn sie von einem unbefugten Benutzer (Hacker)
ausgeführt wird. In jedem Fall sollten kritische Daten wie Passwörter nur in chiffrierter Form übertragen
werden. Ausserdem können sogenannte (server- oder) netzbasierte Intrusion Detection Systeme
(IDS) installiert werden, um vom Firewall unerkannte Attacken nachträglich abfangen zu können.
Eine «demilitarizierte» Zone (DMZ) zwischen Intranet und Internet wird oft von Firewalls unterstützt,
um von beiden Welten zugreifbare Server beherbergen zu können. Es geht vor allem um die Email-, File-
und Webserver (bzw. Protokolle SMTP, FTP und HTTP).
12/42

Auf den E-Mail-Servern werden u. A. Zeitangabe, Absender- und Empfängeradresse, Betrefftext, Priorität
und Vertraulichkeit der Nachrichten protokolliert. Es kann aber nicht ausgeschlossen werden, dass
weitere Informationen protokolliert werden (z. B. Anzahl Attachments, Grösse des E-Mails, digitale Signatur,
ev. auch IP-Adresse). E-Mail-Inhalte werden grundsätzlich nicht protokolliert.
Die Protokollierungseinträge sind in der Regel direkt oder indirekt (durch Verknüpfung mit der Korrespondenzliste)
mit einer bestimmten Person verkettbar. Im Falle dass eine Protokollierung bekannt gegeben
werden muss, ist sie mit grosser Wahrscheinlichkeit zu pseudonymisieren oder sogar repseudonymisieren
(wenn die Daten nicht genug robust pseudonymisiert waren).
13/42

5. Das Nutzungsreglement über privates Surfen
und Mailen
Ob Arbeitnehmer das Recht haben, privat Internet und E-Mail zu nutzen, hängt in erster Linie vom Willen
des Arbeitgebers ab. Ähnlich wie in anderen Bereichen des Arbeitsverhältnisses, hat er ein Weisungsrecht
(Art. 321d Obligationenrecht, OR, SR 220). Wichtig ist, dass der Arbeitgeber die effektiven beruflichen
Bedürfnisse seiner Arbeitnehmer differenziert überprüft, bevor er ihnen den Internetzugriff gewährt.
Durch spezifische Schulung sollen die Arbeitnehmer auf die Sicherheitsgefahren bei der Benutzung
netzbasierter Anwendungen sensibilisiert werden.
Für den Arbeitgeber ist es ratsam, eine schriftliche Weisung über die Nutzung netzbasierter Anwendungen
zu erlassen, obschon dies nicht obligatorisch ist. Ein solches Nutzungsreglement (vgl. Anhang C)
schafft Transparenz und Rechtssicherheit in den Beziehungen zwischen Arbeitgeber und Arbeitnehmer.
Jeder Arbeitnehmer sollte daher am besten schriftlich über die Regelung informiert werden. Ein nur
mündlich kommuniziertes Nutzungsreglement ist zwar ebenfalls verbindlich, kann aber im Streitfall zu
Nachweisschwierigkeiten führen. Deshalb ist allen Arbeitnehmern ein schriftliches Exemplar auszuhändigen,
dessen Empfang sie quittieren. Das Nutzungsreglement ist regelmässig zu überprüfen und wenn
nötig anzupassen. Anpassungen sind insbesondere nötig, wenn Missbräuche festgestellt werden, die
Arbeitsbedürfnisse ändern oder relevante technische Neuerungen entstehen.
Die private Benutzung der netzbasierten Anwendungen wird je nach Nutzungsreglement entweder zugelassen,
eingeschränkt oder ganz verboten.
Eine Einschränkung kann auf unterschiedliche Weise erfolgen. Die zeitliche Begrenzung privater Surftouren,
z. B. 15 Minuten pro Tag, ist aus zwei Gründen nicht wirkungsvoll: Einerseits wird der Zeitpunkt,
wann eine Internet-Seite verlassen wird, in der Regel aus technischen Gründen 10 nicht protokolliert. Anderseits
würde eine Protokollierung der Benutzungsdauer kaum zuverlässige Rückschlüsse auf die effektive
zeitliche Beanspruchung ermöglichen, da die abgerufene Internet-Seite hinter einer anderen Applikation
(z. B. dem Textverarbeitungsprogramm) offen bleiben kann, ohne dass sie jedoch tatsächlich
benutzt wird. Erst die Protokollierung einer Reihe aufeinanderfolgender Internet-Zugriffe vom selben
Computer aus innerhalb einer bestimmten Zeitspanne könnte Rückschlüsse auf die tatsächliche Benutzungsdauer
ermöglichen, wenn die einzelnen Zugriffe in kurzen Zeitabständen voneinander erfolgt sind.
Eine absolut richtige Aussage über die Dauer der Benutzung netzbasierter Anwendungen lässt sich aber
auch in solchen Fällen nicht machen, da gewisse Internet-Seiten kontinuierlich und automatisch aktualisiert
werden (z. B. Newstickers bei Zeitungen oder Börsenmeldungen).
Eine Einschränkung kann erfolgen durch Sperrung unerwünschter Internetangebote (Börse, elektronische
Stellenanzeiger, E-Commerce-Seiten, pornographische oder rassistische Texte oder Bilder, usw.),
durch Festsetzung einer bestimmten, beanspruchbaren Speicherkapazität des Servers (vgl. Kapitel 3)
oder eines Zeitpunktes, ab welchem eine private Benutzung erlaubt ist (z. B. ab 18 Uhr). Möglich ist
auch die Vergabe von unterschiedlichen Bandbreiten je nach Arbeitsrelevanz der abgerufenen Internet-
Seiten.
Die Einschränkung oder das Verbot der privaten Benutzung netzbasierter Anwendungen kann auch
durch Umschreibung der zugelassenen Internetangebote erfolgen, mit einer Positivliste, die z. B. nur die
Informationsbeschaffung auf Internet-Seiten offizieller Behörden erlaubt (vgl. Kapitel 3). Im Allgemeinen
ist eine Surftour zulässig, wenn sie beruflichen Zwecken dient.
14/42

Falls die Internetnutzung eingeschränkt ist, könnte es eine Lösung sein, wenn der Arbeitgeber – ähnlich
wie beim Telefon – ein frei zugängliches Internet-Terminal zur Verfügung stellt. Die entsprechende Protokollierung
darf durch den Arbeitgeber nicht eingesehen werden, wird aber aus Beweissicherungsgründen
(z. B. für ein offizielles Ermittlungsverfahren) erstellt. Aus Sicherheitsgründen (vgl. Kapitel 2) empfiehlt
es sich, dieses Terminal vom übrigen Firmennetz getrennt zu betreiben. Die interessierten Arbeitnehmer
tragen die vollständige Verantwortung für die Sicherheit und die gesetzeskonforme Benutzung
des Terminals.
Wenn kein Nutzungsreglement erlassen wird, besteht Unklarheit über die Befugnis zur privaten Internet-
und E-Mail-Nutzung. Gewisse Kreise vertreten die Auffassung, dass das Verbot privaten Telefonierens
auf die private Internetnutzung analog anwendbar sei. Die Interessen und Mittel des Arbeitgebers müssen
jedenfalls gewährleistet bleiben. Letzteres hängt mit der Sorgfalts- und Treuepflicht (Art. 321a OR)
zusammen, die den Arbeitnehmer verpflichtet, die Interessen des Arbeitgebers zu wahren. Was dies im
Zusammenhang mit der Internetnutzung bedeutet, hängt von den konkreten Umständen im Einzelfall ab.
Die Gefahr besteht, dass der Arbeitgeber falsch beurteilt, ob eine Surftour zulässig ist.
Aus diesen Gründen ist es empfehlenswert, ein schriftliches Nutzungsreglement zu erlassen. Je konkreter
und klarer dieses ist, desto unmissverständlicher sind die Grenzen der erlaubten privaten Internetnutzung
am Arbeitsplatz.
15/42

6. Gesetzliche Grundlagen der Überwachung
Die Gefahr der dauerhaften Verhaltensüberwachung der Arbeitnehmer am Arbeitsplatz war 1984 Auslöser
einer parlamentarischen Motion 11 über den Persönlichkeitsschutz von Arbeitnehmern. Infolge dieser
Motion erliess der Bundesrat eine Verordnung, welche die gezielte Verhaltensüberwachung am Arbeitsplatz
verbietet (Art. 26 Abs. 1 Verordnung 3 zum Arbeitsgesetz, ArGV 3, SR 822.113). Sind Überwachungs-
und Kontrollsysteme aus anderen Gründen erforderlich, müssen sie so gestaltet und angeordnet
sein, dass sie die Gesundheit und die Bewegungsfreiheit der Arbeitnehmer nicht beeinträchtigen
(Art. 26 Abs. 2 ArGV 3). Geschützt werden soll in erster Linie die Gesundheit und die Persönlichkeit der
Arbeitnehmer vor ständiger, gezielter Verhaltensüberwachung durch Einsatz eines Überwachungssystems
12 . Die Verhaltensüberwachung ohne Überwachungssystem fällt nicht in den Anwendungsbereich
von Art. 26 ArGV 3.
Im Zusammenhang mit dem Surfen und der Nutzung von E-Mail am Arbeitsplatz bedeutet dies, dass
Überwachungen der Internet- und E-Mail-Nutzung durch ständige, personenbezogene Auswertungen
der Protokollierungen nicht zulässig sind. Aus diesem Grund dürfen auch Spionprogramme (vgl. Kapitel
4) nicht eingesetzt werden. Bei den Spionprogrammen handelt es sich um ein leistungsstarkes System
zur heimlichen Überwachung des Verhaltens von Arbeitnehmern am Arbeitsplatz. Ihr Einsatz stellt sowohl
eine Verletzung des Verhaltensüberwachungsverbotes als auch des Grundsatzes von Treu und
Glaube dar.
Aufgrund der vielfältigen Funktionen und Programmierungsmöglichkeiten der Überwachungsprogramme
kann der Eingriff in die Persönlichkeit des Arbeitnehmers u. U. noch tiefgreifender sein als durch den
Einsatz einer Videokamera.
Ein Beispiel von Spionprogrammen stellen sogenannte Content Scanners dar. Ein Content Scanner ist
eine Software, welche die gesendeten und/oder empfangenen E-Mails nach bestimmten vordefinierten
Stichwörter auswertet und entsprechend reagiert (z. B. Sperrung, Löschung, Kopie an Systemadministrator
oder gar an Vorgesetzten). Beim Content Scanner ist die Gefahr der Persönlichkeitsverletzung
durch systematische Verhaltensüberwachung offensichtlich. Die Wirksamkeit solcher stichwortbasierten
Filtrierungen ist ausserdem bestreitbar, da sie entweder zuviel oder zuwenig abwehren. Die absolute
Inhaltssicherheit ist auf jeden Fall illusorisch, da z. B. die vermehrt angepriesenen verschlüsselten E-
Mails nicht analysierbar sind. Hinzu kommt, dass E-Mails, die als privat gekennzeichnet sind, in keinem
Fall inhaltlich ausgewertet werden dürfen.
Das Bundesgericht hat über elektronische Überwachungssoftware noch kein Urteil gefällt.
Gestattet sind permanente anonymisierte Auswertungen der Protokollierungen sowie stichprobenartige
pseudonymisierte Auswertungen der Protokollierungen, um zu überprüfen, ob das Nutzungsreglement
eingehalten wird (vgl. Kapitel 8.4.1.1). Solche Auswertungen dienen dazu, Beweise zu erheben, um
Missbräuche sanktionieren zu können, die durch die technischen Schutzmassnahmen nicht verhindert
werden konnten (z. B. Zugriffe auf Internetseiten, die nicht auf die Sperrliste der Firewall figurieren).
Wenn ein Missbrauch festgestellt wird – und die Belegschaft vorher in einem Überwachungsreglement
(vgl. Kapitel 7.1) informiert wurde – kann dies zu einer namentlichen Auswertung der Protokollierungen
führen.
Das Verbot der Verhaltensüberwachung gemäss Art. 26 ArGV3 gilt also nicht absolut. Es geht vielmehr
darum, den Persönlichkeitsschutz der Arbeitnehmer und die Interessen des Arbeitgebers (vgl. Kapitel 2)
gegeneinander abzuwägen. In Einzelfällen, wenn Missbräuche festgestellt werden und die entsprechen-
16/42

de vorherige Information (Überwachungsreglement) besteht, dürfen personenbezogene Verhaltensüberwachungen
vorgenommen werden. Werden keine Missbräuche festgestellt, müssen sowohl die
Gewährleistung der Sicherheit als auch die Überwachung der Einhaltung des Nutzungsreglements anonym
oder pseudonym bleiben 13 .
Neben Art. 26 ArGV 3 schützen auch das Datenschutzgesetz sowie Art. 328 und 328b OR die Persönlichkeit
des Arbeitnehmers. Diese Bestimmungen sehen auch vor, dass der Arbeitgeber Personendaten
nur unter Einhaltung des Zweckbindungs- und Verhältnismässigkeitsprinzips bearbeiten darf.
Viele Arbeitgeber stellen ihren Arbeitnehmern tragbare Arbeitsinstrumente zur Verfügung. Diese sind
auch von der Überwachung betroffen, was ein besonderes Problem darstellt, da diese Geräte oft auch
privat benutzt werden.
Der Arbeitnehmer darf vom Arbeitgeber jederzeit Auskunft darüber verlangen, ob Daten über ihn bearbeitet
werden (Art. 8 Abs. 1 DSG, vgl. Kapitel 8.1.2). Dies kann sogar eine überwachungshemmende
Wirkung auf den Arbeitgeber haben.
Personendaten dürfen nicht ohne Einwilligung der betroffenen Personen oder einen anderen Rechtfertigungsgrund
an unberechtigte Dritte bekannt gegeben werden (Art. 12 und 13 DSG). Die Arbeitskollegen
der betroffenen Person gelten in Bezug auf den Datenschutz als Dritte.
Sowohl die Informatikdienste bzw. die Sicherheitsbeauftragten als auch die Vorgesetzten und Personaldienste
haben die Personendaten (hauptsächlich die Protokollierungen und deren Auswertungen), die
sie im Zusammenhang mit einer Überwachung bearbeiten, durch angemessene technische Schutzmassnahmen
gegen unbefugte Zugriffe zu schützen (Art. 7 Abs. 1 DSG) 14 . Sie sorgen insbesondere für
die Vertraulichkeit, die Verfügbarkeit und die Integrität der Personendaten (Art. 8 Abs. 1 der Verordnung
zum DSG, VDSG, SR 235.11).
17/42

7. Die wichtigsten rechtlichen Voraussetzungen für die
Überwachung des Surfens und der E-Mail-Nutzung
Um eine personenbezogene Überwachung einleiten zu dürfen, muss der Arbeitgeber die Belegschaft
vorher informieren und einen Missbrauch festgestellt haben oder es muss ein Missbrauchsverdacht entstanden
sein. Im Detail gelten folgende Regeln.
7.1 Die vorherige Information
Anders als beim Nutzungsreglement, das nicht obligatorisch ist, hat der Arbeitgeber die Pflicht, ein Überwachungsreglement
zu erlassen, da die Überwachung einen Eingriff in die Privatsphäre des Arbeitnehmers
darstellen kann (Prinzip von Treu und Glauben, Art. 4 Abs. 2 DSG). Ein solcher Eingriff ist dann
gegeben, wenn Protokollierungen privater Surftouren personenbezogen ausgewertet werden. Das Überwachungsreglement
wird aus Gründen der Transparenz und Rechtssicherheit schriftlich und in der
Regel zusammen mit dem Nutzungsreglement in einem einzigen Dokument verfasst (vgl. Musterreglement,
Anhang C).
Der Arbeitgeber muss im Überwachungsreglement darüber informieren, dass die Möglichkeit der personenbezogenen
Auswertung der Protokollierungen besteht (vgl. Kapitel 8.2 und 8.3) und dass die Auswertungsresultate
an den Personaldienst und an den Vorgesetzten weitergegeben werden, falls ein
Missbrauch festgestellt wird. Sieht das Überwachungsreglement diese Information nicht vor, so muss
dies nachgeholt werden, bevor Protokollierungen personenbezogen ausgewertet werden. Die Information
hat demzufolge vor dem Missbrauch bzw. Missbrauchsverdacht und nicht lediglich vor der personenbezogenen
Auswertung der Protokollierungen zu erfolgen. Ausnahmsweise, wenn ein schwerer Missbrauch
vorliegt, kann die vorherige Information erst vor der personenbezogenen Auswertung der Protokollierungen
erfolgen, falls sie früher nicht vorhanden war. In der Abwägung überwiegen in solchen Fällen
die Interessen des Arbeitgebers an die Identifikation des fehlbaren Arbeitnehmers.
Empfehlenswert ist auch darüber zu informieren, wer für die personenbezogene Auswertung der Protokollierungen
zuständig ist, welche konkreten arbeitsrechtlichen Sanktionen ergriffen werden können und
wie bei Verdacht auf eine Straftat vorgegangen wird. Ratsam ist ferner die Information über die eingesetzten
Protokollierungen, deren Zweck, Inhalt, Aufbewahrungsdauer und Auskunftsrecht.
Im Zusammenhang mit der E-Mail-Benutzung hat der Arbeitgeber auch die externen E-Mail-Empfänger
und -Absender über das Vorliegen von Überwachungen bzw. von Stellvertretungen zu informieren. Dies
könnte bspw. in den Fusszeilen zusammen mit der Vertraulichkeits- und Amtlichkeitsklausel jedes ausgehenden
E-Mails erfolgen.
Die Kenntnis, dass eine Überwachung möglich ist, kann eine abschreckende Wirkung auf das Surfverhalten
der Arbeitnehmer haben.
18/42

7.2 Die Feststellung eines Missbrauches
Ein Missbrauch liegt vor, wenn das Nutzungsreglement verletzt worden ist. Missbräuchlich ist je nach
Nutzungsreglement z. B. das Surfen auf Web-Seiten, die keine berufliche Relevanz aufweisen, oder das
private Surfen tout court, wenn es ausdrücklich verboten wurde. Der wegen den ergriffenen technischen
Schutzmassnahmen misslungene Versuch, auf gesperrte Internetseiten zuzugreifen, stellt hingegen keinen
Missbrauch dar.
Fehlt ein Nutzungsreglement, so können die Treuepflicht oder das Zweck- und Verhältnismässigkeitsprinzip
trotzdem verletzt werden. Ist dies der Fall, dann spricht man auch von einem Missbrauch.
Ein Missbrauch kann durch anonyme oder pseudonyme Überwachungen der Einhaltung des Nutzungsreglements
(vgl. Kap. 8.2 und 8.3), bei der Gewährleistung der Sicherheit (z. B. beim Herausfinden der
Quelle eines Virus oder eines internen Hackingversuches) oder durch andere Hinweise (z. B. Vorfinden
von gedrucktem privatem Material beim Firmendrucker, versehentliche Zustellung von privaten E-Mails
an Vorgesetzten oder eine Überlastung der E-Mail-Box eines Arbeitnehmers) festgestellt werden.
19/42

8. Die Überwachung des Surfens und der E-Mail-
Benutzung am Arbeitsplatz
Es ist an dieser Stelle nochmals klar festzuhalten, dass sowohl die technische Prävention als auch die
Sensibilisierung und Mitwirkung der Arbeitnehmer Vorrang gegenüber der Überwachung haben. Nur
wenn ein Missbrauch so nicht verhindert werden kann, darf der Arbeitgeber eine personenbezogene
Überwachung in Betracht ziehen.
Die Überwachung des privaten Surfens wird von derjenigen der privaten E-Mail-Benutzung separat betrachtet.
Zu bemerken ist, dass in Kleinunternehmen die nachfolgenden Ausführungen kaum Anwendung finden,
da keine richtige Anonymität garantiert werden kann.
In den folgenden Kapiteln wird insbesondere die Überwachung des Surf- und E-Mail-Verhaltens aufgrund
der Auswertung der Protokollierungen erörtert. Wegen ihrer präventiven, permanenten und vorsätzlichen
Natur ist sie die geläufigste und gefährlichste Art der Überwachung.
Möglich ist aber auch die zufällige Überwachung im Rahmen der Gewährleistung der Sicherheit und
Funktionstüchtigkeit der technischen Ressourcen oder aufgrund anderer Hinweise.
8.1 Überwachung im Rahmen der Gewährleistung der Sicherheit und der
Funktionstüchtigkeit des betrieblichen EDV-Systems
Eine Aufgabe der Informatikdienste oder Sicherheitsbeauftragten eines Unternehmens besteht in der
Gewährleistung der Sicherheit und Funktionstüchtigkeit der technischen Mittel. In Kleinbetrieben ist der
Vorgesetzte oft dafür selber zuständig. Die Gewährleistung der Sicherheit erfolgt laufend, meistens
durch den Einsatz von technischen Schutzmassnahmen (z. B. Intrusion Detection System), und anonym.
Die Abwehr von internen oder externen Angriffen wird weitgehend diesen Massnahmen überlassen. Der
Arbeitgeber hat dafür zu sorgen, dass die technischen Schutzmassnahmen regelmässig dem neusten
Stand der Technik angepasst werden.
Manifestiert sich eine technische Störung trotz Schutzmassnahmen, können bei der Suche nach deren
Ursache die Protokollierungen beigezogen werden. Die Ursache der Störung kann zugleich einen Missbrauch
darstellen oder einen Missbrauchsverdacht erwecken. Im Falle eines erwiesenen Missbrauches
kann der identifizierte Mitarbeiter gemäss den Ausführungen in Kapitel 10 sanktioniert werden.
8.2 Überwachung aufgrund anderer Hinweise
Der Missbrauchsverdacht oder der Missbrauch kann auch zufälligerweise, durch andere Hinweise entstehen
bzw. festgestellt werden (vgl. Kapitel 7.2). Zur Identifikation des fehlbaren Mitarbeiters können,
falls nötig, die entsprechenden Protokollierungen (z. B. die Protokollierung des Druckers) oder auch nur
deren Auswertungen beigezogen werden. Bei erwiesenem Missbrauch kommen die Sanktionen gemäss
Kapitel 10 zur Anwendung.
20/42

8.3 Überwachung aufgrund der Auswertungen der
Protokollierungen
Bei der Auswertung einer Protokollierung geht es um eine übersichtliche Analyse von protokollierten Aktivitäten
nach bestimmten, vordefinierten Kriterien. Die Auswertung wird durch ein dafür vorgesehenes
Programm erzeugt. Eine oder mehrere miteinander verknüpfte Auswertungen (z. B. aus Internet-, E-
Mail- und Telefonaktivitäten) können Persönlichkeitsprofile bilden. Deshalb könnte der Auswertungstool
eine Protokollierung über die erzeugten Auswertungen vornehmen.
Es bestehen hauptsächlich drei verschiedene Auswertungsarten: die anonyme, die pseudonyme und die
namentliche Auswertung.
Bei der anonymen Auswertung geht es um die statistische Analyse der Protokollierungen (z. B. nach
dem Kriterium der meistbesuchten Internet-Seiten oder nach der Anzahl gesendeter E-Mails). Die Auswertung
kann sowohl die gesamte Arbeitnehmerschaft einer Firma als auch nur einen Teil davon (z. B.
eine bestimmte Firmenabteilung) betreffen. Um die Anonymität zu gewährleisten, hat die untersuchte
Personenmenge genügend gross zu sein.
Bei der pseudonymen Auswertung geht es um eine Protokollierungsanalyse nach pseudonymisierter,
bestimmbarer Person (z. B. die meist besuchten Internet-Seiten pro pseudonymisierte Person). Das
Pseudonym muss genügend robust sein, um die Identität der betroffenen Person in der Phase der nichtpersonenbezogenen
Überwachung (vgl. Kapitel 8.4.1.1) zu schützen. Sowohl User-ID als auch statisch
vergebene IP-Adresse gelten nicht als robuste Pseudonyme, da damit die Identität der betroffenen Personen
leicht zu rekonstruieren ist.
Die namentliche Auswertung stellt eine Protokollierungsanalyse nach einer bestimmten Person dar. Die
Relation der Pseudonyme mit den entsprechenden Personennamen befindet sich in der sogenannten
Korrespondenzliste. Durch Verknüpfung des Pseudonyms mit der Korrespondenzliste lässt sich die Identität
der betroffenen Person ermitteln (Reidentifikation/namentliche Auswertung). Es ist empfehlenswert,
die Auswertungen der Protokollierungen von der Korrespondenzliste (Benutzernamen und entsprechende
Pseudonyme) physisch und funktionell (durch zwei verschiedene Personen) getrennt aufzubewahren.
Es ist aber zu bedenken, dass weder getrennte Listen noch Pseudonymisierung der Benutzernamen
eine anonyme Überwachung garantieren, wenn die Korrespondenzlisten allgemein auffindbar sind 15 .
Speziell gilt, dass die namentliche Auswertung der Protokollierung der E-Mails, welche gemäss Kapitel
8.5 als privat bezeichnet sind, nur folgende Elemente zu enthalten hat: Datum, Zeit, Absenderadresse
(unterdrückt bei eingehenden E-Mails), Empfängeradresse (unterdrückt bei ausgehenden E-Mails),
Vermerk . Mit anderen Worten, darf nur die E-Mail Adresse des Arbeitnehmers in der namentlichen
Auswertung erscheinen.
21/42

8.4 Die Überwachung aufgrund der Auswertungen der
Surfprotokollierungen
Die Überwachung der Auswertungen der Internetprotokollierungen dient dem Schutz der Interessen des
Arbeitgebers gemäss Kapitel 2 dieses Leitfadens.
Die Überwachung der Auswertungen der Internetprotokollierungen unterteilt sich in zwei Phasen:
• Nichtpersonenbezogene Überwachung;
• Personenbezogene Überwachung.
8.4.1 Erste Phase: Nichtpersonenbezogene Überwachung
Die Zwecke der ersten Phase der Überwachung, die sogenannte nichtpersonenbezogene Überwachung,
bestehen hauptsächlich in der Erstellung von Statistiken und in der Kontrolle der Einhaltung des Nutzungsreglements.
• Erstellung von Statistiken: Statistiken erfolgen aufgrund anonymer Auswertungen der Protokollierungen
und bezwecken die strukturierte, anonyme Wiedergabe der durchschnittlichen Internetbenutzung.
• Kontrolle der Einhaltung des Nutzungsreglements: Unter der Voraussetzung, dass die Arbeitnehmer
vorgängig im Überwachungsreglement darüber informiert wurden (vgl. Kapitel 7.1 und Anhang
C), darf der Arbeitgeber die Einhaltung des Nutzungsreglements kontrollieren. Je nach Überwachungsreglement
erfolgt diese Kontrolle durch eine anonyme und/oder durch eine pseudonyme
Auswertung der Protokollierungen. Die anonyme Auswertung ermöglicht keine Identifikation und darf
demzufolge permanent erfolgen. Die pseudonyme Auswertung ermöglicht die Überwachung des
Verhaltens einer bestimmbaren Person im Vergleich zum durchschnittlichen (anonymen) Verhalten.
Sie darf nur stichprobenartig, nach einem bestimmten Zeitplan erfolgen (z. B. ein Tag pro Monat, unter
Angabe der betroffenen Woche; Dadurch soll das Gefühl der ständigen, individuellen Verhaltensüberwachung
verhindert werden). Die Überwachung der gesamten Zeitspanne seit der letzten Stichprobe
(z. B. durch Content Scanner oder Spionprogramme, vgl. Kapitel 6) käme hingegen einer
ständigen Verhaltensüberwachung der gesamten Arbeitnehmerschaft gleich, welche gemäss Art. 26
ArGV 3 nicht zulässig ist. Die nichtpersonenbezogene Überwachung der Einhaltung des Nutzungsreglements
sollte durch den Datenschutzberater der Firma, durch einen dafür speziell ausgebildeten
Mitarbeiter oder durch eine externe Vertrauensperson durchgeführt werden. Die beauftragte Person
muss über ihre Verantwortung klar informiert werden, besonders im Zusammenhang mit dem Verbot
von personenbezogenen Auswertungen in dieser Phase.
8.4.2 Zweite Phase: Personenbezogene Überwachung
Bei der zweiten Phase der Überwachung, der sogenannten personenbezogenen Überwachung, geht es
um die Identifikation bzw. Reidentifikation einer Person im Falle einer Missbrauchsfeststellung oder eines
Missbrauchsverdachts in der ersten Phase.
Beim Missbrauchsverdacht 16 wird die pseudonymisierte Auswertung der Protokollierung herangezogen
und durch Verknüpfung mit der Korrespondenzliste namentlich ausgewertet. Das Ziel dieser namentlichen
Auswertung besteht darin, das Bestehen eines Missbrauches zu bestätigen oder den Missbrauchsverdacht
zu eliminieren. Wird der Missbrauchsverdacht nicht bestätigt, hört man mit der nament-
22/42

lichen Auswertung der Protokollierung sofort auf. Der Arbeitgeber bleibt aber weiterhin gehalten, die
technischen Schutzmassnahmen und/oder das Nutzungsreglement an den technischen Fortschritt anzupassen,
z. B. durch die Beschaffung eines aktualisierten Antivirusprogramms oder durch die Erweiterung
der Firewall mit einer überarbeiteten Sperrliste.
Liegt ein Missbrauch gemäss Kapitel 7.2 vor, passt der Arbeitgeber zuerst die technischen Schutzmassnahmen
sowie, wenn nötig, das Nutzungsreglement an. Die Anpassung des Nutzungsreglements wird
den Arbeitnehmern mitgeteilt.
Die Identifikation bzw. Reidentifikation des fehlbaren Arbeitnehmers erfolgt gemäss Kapitel 8.3. Danach
kann der Arbeitgeber die passenden arbeitsrechtlichen Massnahmen treffen (vgl. Kapitel 10).
Da eine solche Bearbeitung der Protokollierung weitere, mit dem Missbrauch nicht zusammenhängende
Personendaten enthüllen kann, ist die mit der Auswertung beauftragte Person an das Berufsgeheimnis
besonders gebunden. Sie darf solche Daten nicht missbrauchen. Im Falle einer Datenbearbeitung durch
Dritte hat der Arbeitgeber Letztere darauf hinzuweisen (Art. 14 DSG).
8.5 Die Überwachung des E-Mail-Verkehrs
8.5.1 Die Überwachung des privaten e-Mail-Verkehrs
Für die E-Mail-Überwachung gelten die mehr oder weniger gleichen Grundsätze wie für die klassische
Papierpost. In den folgenden Zeilen wird deshalb zuerst die Überwachung der Papierpost am Arbeitsplatz
behandelt 17 .
Die private Post am Arbeitsplatz geniesst uneingeschränkten Schutz. Die private Post ist demzufolge
ungeöffnet an die adressierte Person weiterzuleiten. Wird private Post durch Drittpersonen trotzdem geöffnet,
so liegt eine widerrechtliche Persönlichkeitsverletzung vor. Letztere kann entweder zivil- (Art. 15
DSG) oder verwaltungsrechtlich (Art. 25 DSG) verfolgt werden. In beiden Fällen bleiben auch strafrechtliche
Konsequenzen vorbehalten (Art. 179 StGB). Als Privatpost gilt eine Sendung, bei der erkennbar ist,
dass sie einem Arbeitnehmer nicht in beruflicher Eigenschaft, sondern als Privatperson zugestellt worden
ist. Anhaltspunkte für Privatpost sind besondere Vermerke wie «privat» oder «eigenhändig». Massgebend
ist auch die Art der Sendung (Todesanzeige, adressierte Zeitung oder Zeitschrift) oder äussere
Merkmale (Kleinformate, farbiges Papier, Postkarten, an einen Bediensteten adressierte Militärpost).
Die Anschrift «Herr X, Dienststelle Y» lässt somit erst dann auf den persönlichen Inhalt schliessen, wenn
dies durch einen Zusatz (privat, usw.) zum Ausdruck gebracht wird. Das blosse Voranstellen des Namens
genügt nicht, um zu zeigen, dass die Sendung einem Bediensteten als Privatperson zugestellt
worden ist (BGE 114 IV 16).
Ähnlich wie im Post- sowie Telefoniebereich darf der Arbeitgeber aufgrund des Persönlichkeitsschutzes
keine Einsicht in den Inhalt privater E-Mails des Arbeitnehmers haben. Aufgrund der Adressierungselemente
ist eine automatisierte Unterscheidung zwischen privaten und geschäftlichen E-Mails kaum möglich.
Private E-Mails sind vom Absender demzufolge durch eine Vermerkoption «privat» zu kennzeichnen.
Wenn kein Unterscheidungsvermerk zwischen privaten und beruflichen E-Mails besteht und die
private Natur eines E-Mails aufgrund der Adressierungselemente nicht erkennbar und nicht anzunehmen
ist, darf der Arbeitgeber – analog den klassischen Postsendungen – davon ausgehen, dass das E-Mail
beruflich ist. Bestehen Zweifel über die Natur eines E-Mails, ist sie mit dem Angestellten zu klären.
23/42

Ein Entpacken und weiteres Bearbeiten (z. B. Sichern, Weiterleiten, Scannen) von E-Mails, welche als
«privat» gekennzeichnet bzw. erkennbar sind, bleibt dem Arbeitgeber somit verwehrt. Die Respektierung
der Privatsphäre als Teil der Persönlichkeit zeigt sich auch beim verfassungsmässigen Fernmeldegeheimnis,
welches auch für den E-Mail-Verkehr über Internet gilt (BGE 126 I 50, insb. Erw. 6a). So ist es
dem Arbeitgeber nicht gestattet, private Nachrichten seiner Angestellten beim Anbieter des E-Mail-
Dienstes einzusehen (Art. 43 des Fernmeldegesetzes, FMG, SR 784.10). Die Einsicht in E-Mails der
Beschäftigten darf ausschliesslich im Rahmen einer Strafverfolgung auf richterlichen Beschluss hin erfolgen,
wobei die entsprechenden Inhalte nur dem Richter vorgelegt werden dürfen (Art. 3 des Bundesgesetzes
betreffend die Überwachung des Post- und Fernmeldeverkehrs, BÜPF, SR 780.1).
Eine Möglichkeit, den Inhalt von privaten E-Mails zu schützen, besteht darin, einen internetbasierten,
vom geschäftlichen getrennten und wenn möglich verschlüsselten E-Mail-Dienst zu gebrauchen 18 .
Ob internetbasierte, verschlüsselte E-Mail-Dienste überhaupt benutzt werden dürfen, hängt vom Nutzungsreglement
ab. Ist die Internetnutzung verboten, geht der Arbeitnehmer das Risiko ein, wegen privaten
Surfens am Arbeitsplatz sanktioniert zu werden. Für den privaten E-Mail-Gebrauch am Arbeitsplatz
gilt also folgende Regel: Lässt das Nutzungsreglement die private E-Mail-Nutzung zu, so besteht
zum besseren eigenen Schutz die Möglichkeit, ein webbasierter, wenn möglich verschlüsselter E-Mail-
Dienst zu benutzen. Ist die private E-Mail-Nutzung am Arbeitsplatz untersagt, verzichtet man am besten
darauf. Eine vollständige Verhinderung eingehender privater E-Mails ist hingegen nicht möglich. Der Arbeitgeber
muss sich bewusst sein, dass er den Arbeitnehmer nicht für den Eingang aller privater E-Mails
verantwortlich machen kann.
Organisatorisch erfolgt die Archivierung der E-Mails heutzutage in der Regel noch im E-Mail-Server. Die
entsprechenden Backups können, wenn dies im Überwachungsreglement vorgesehen ist und die Protokollierungen
keine Identifikation ermöglicht haben, nicht nur bei Datenverlust, sondern auch zur Identifikation
fehlbarer Mitarbeiter oder zur Erhärtung von Missbrauchsverdacht verwendet werden.
Aus Gründen einer klaren Unterscheidung zwischen privaten und geschäftlichen E-Mails, aber auch zur
besseren Verwaltung der geschäftlichen E-Mails wird jedoch empfohlen, die E-Mail-Box nicht als Archiv
zu gebrauchen. Private E-Mails sollen auf einem privaten Datenträger, geschäftliche E-Mails in ein geschäftliches
Dokumentverwaltungssystem verschoben werden. Dadurch wird ein beträchtlicher Beitrag
am Schutz der eigenen Privatsphäre geleistet, da unter anderem keine privaten E-Mails in geschäftlichen
Backups gespeichert werden.
8.5.1.1 Vorgehensweise
Für die Überwachung der Einhaltung der E-Mail-Nutzungsregelung gelten die gleichen Ausführungen
wie für die Überwachung des Surfens (vgl. Kapitel 8.1 ff).
8.5.2 Die Überwachung des geschäftlichen E-Mail-Verkehrs
Die Geschäftsverwaltung setzt eine systematische Registrierung und Nachvollziehbarkeit von allen ein-
und ausgehenden geschäftlichen Dokumenten (inkl. E-Mails) voraus. Die Firma hat das Recht, die geschäftlichen
E-Mails vollständig zu protokollieren und inhaltlich zu sichern (Backup). Es empfiehlt sich,
die Protokollierung auf die Betreffzeile, Datum, Zeit, Absender- und Empfängeradresse zu beschränken.
Im E-Mail-Bereich, analog wie mit der herkömmlichen postalischen Geschäftskorrespondenz, bestehen
zwei Adressierungsmodi: Die namentliche (z. B. hans.meier@firma.ch oder hans.meier@verkauf.firma.
ch) und/oder die namenlose, funktionelle (z. B. info@firma.ch, verkauf@firma.ch, oder verkaufsleiter@firma.ch)
Adressierung. Heutzutage ist die namentliche Adressierung weit verbreitet.
24/42

Die namentliche Adressierung alleine bereitet eine Vielzahl von Nachteilen bei der Geschäftsverwaltung:
Die Mailverwaltung während Abwesenheiten und beim Verlassen der Firma und die damit verbundene
Schwierigkeit der Unterscheidung zwischen privaten und geschäftlichen E-Mails. Wenn kein Unterscheidungsvermerk
zwischen privaten und beruflichen E-Mails besteht und die private Natur eines E-Mails
aufgrund der Adressierungselemente nicht erkennbar und nicht anzunehmen ist, darf der Arbeitgeber –
analog den klassischen Postsendungen – davon ausgehen, dass das E-Mail beruflich ist.
Die namenlose, funktionelle Adressierung ist für die nicht persönliche geschäftliche Korrespondenz geeignet,
da sie die oben erwähnten Schwierigkeiten der namentlichen Adressierung nicht aufweist. Die
namentliche Adressierung sollte für den rein persönlichen, geschäftlichen Informationsaustausch (z. B.
bei Personalangelegenheiten oder persönlichen Mitteilungen) gebraucht werden.
8.5.2.1 Die E-Mail-Verwaltung während Abwesenheiten
Was die vorhersehbaren Abwesenheiten (z. B. Ferien, Urlaub, Militärdienst) betrifft, bestehen hauptsächlich
drei Verwaltungsarten:
• Definieren einer automatischen Antwort an den Absender mit Abwesenheitsmelung und Notfallkoordinaten.
• Definieren einer Weiterleitung des Eingangs an einen Stellvertreter. Diese Lösung ist mit dem Risiko
verbunden, dass private E-Mails, welche als solche nicht vermerkt sind, an den gewählten Stellvertreter
gelangen.
• Definieren eines Stellvertreters mit abgestufter Berechtigung zur Einsicht und eventuellen Weiterbearbeitung
der geschäftlichen eingehenden E-Mails. Die als privat gekennzeichneten E-Mails sind für
den Stellvertreter nicht sichtbar. Dadurch bleibt die Privatsphäre des abwesenden Arbeitnehmers
geschützt. Dem Absender muss bewusst sein, dass das E-Mail durch den Stellvertreter eingesehen
wird, wenn es nicht als «privat» erkannt werden kann.
Bei «unvorhersehbaren» Abwesenheiten (z. B. Krankheit, Unfall) ist ein Stellvertreter pro Mitarbeiter (vgl.
C.) zum Voraus zu ernennen.
8.5.2.2 Die E-Mail-Verwaltung beim Austritt eines Angestellten
Vor dem Austritt hat ein Arbeitnehmer die noch hängigen Geschäfte wie E-Mails intern weiterzuleiten.
Der Arbeitnehmer hat die Übergabe sämtlicher Geschäftsdokumente an die Firma zu bestätigen 19 . Er
muss die Möglichkeit haben, seine privaten E-Mails und andere Dokumente auf private Datenträger zu
speichern und aus den Servern der Firma zu löschen.
Beim Austritt (oder im Todesfall) ist spätestens am letzten Arbeitstag sein E-Mail-Account (wie übrigens
auch alle anderen EDV-Accounts) zu sperren und sein Briefkasten (wie alle anderen persönlichen Datenträger)
zu löschen. Der Arbeitgeber sollte sich dazu schriftlich verpflichten. Absender, welche E-Mails
an die gesperrte E-Mail-Adresse schicken, werden automatisch informiert, dass die Empfängeradresse
hinfällig ist. In der automatischen Antwort wird eine Ersatz-E-Mail-Adresse der Firma angegeben.
8.5.3 Besondere Fälle der E-Mail-Überwachung
Darf der Arbeitgeber einen Arbeitnehmer identifizieren, dem z. B. Persönlichkeitsverletzungen oder
Mobbing durch anonyme E-Mails vorgeworfen werden?
25/42

Die mögliche Persönlichkeitsverletzung eines Arbeitnehmers durch einen anderen Arbeitnehmer ist Sache
der betroffenen Person und der Ziviljustiz. Der Arbeitgeber hat jedoch das Recht, selber die Identität
der fehlbaren Person herauszufinden, wenn die Treuepflicht und die Interessen des Arbeitgebers auch
tangiert werden (z. B. Leistungseinbruch durch Kränkung eines Arbeitnehmers). Die Identifikation ist ebenfalls
erlaubt, wenn private E-Mails im Nutzungsreglement verboten sind. Der Rechtfertigungsgrund
für die Identifikation der fehlbaren Person ist in einem solchen Fall die Verletzung des Nutzungsreglements
resp. der Treuepflicht, nicht die vermeintliche Persönlichkeitsverletzung eines Mitarbeiters.
8.6 Teleworker
Unter Teleworker versteht man einen Arbeitnehmer mit Arbeitsplatz ausserhalb der Firma (z. B. Heimarbeiter
via Internet). Dadurch, dass der Teleworker ausserhalb der Firma arbeitet und nicht unter direkter
Beaufsichtigung des Arbeitgebers steht, ist die private Benutzung der vom Arbeitgeber zur Verfügung
gestellten Arbeitsinstrumenten in der Regel grösser. Obwohl dies nicht ohne Weiteres als Missbrauch
von geschäftlichen Ressourcen zu deuten ist, ist die Gefahr einer Persönlichkeitsverletzung durch Einsichtnahme
in Protokollierungen oder in privaten Dateien durch den Arbeitnehmer grösser als beim klassischen
Arbeitnehmer. Um diese Gefahr zu vermeiden, empfiehlt es sich, einen separaten Datenträger
(z.B. externe Harddisk, Diskette, CD) für private Angelegenheiten einzusetzen. Dies erleichtert u. a. die
einwandfreie Rückgabe des Arbeitsinstrumentes beim Verlassen der Firma.
26/42

9. Die Überwachung im Falle einer Straftat
Wenn der Arbeitgeber im Rahmen einer Überwachung oder durch andere Hinweise den konkreten Verdacht
schöpft, dass eine Straftat per Surfen oder E-Mail begangen wurde, so kann er die entsprechenden
Beweise, bestehend aus den Protokollierungen und eventuellen Backups, sichern. Da die Beweissicherung
technisch komplex ist, sollte sie durch einen Spezialisten (forensic computing scientist) 20 durchgeführt
werden.
Aufgrund der Protokollierungen oder einer Beschwerde von betroffenen Arbeitnehmern oder Dritten
kann der Verdacht oder die Gewissheit über ein Verhalten entstehen, das nicht nur gegen Arbeitsvertrag
oder Nutzungsreglement verstösst, sondern einen Straftatbestand erfüllt, wie zum Beispiel:
• Rufschädigung (Art. 173ff StGB);
• sexuelle Belästigung am Arbeitsplatz (Art. 198 StGB);
• Verbreitung von rassistischem oder pornographischen Material (Art. 261bi s und 197 StGB);
• «Sabotage per Internet» oder «Betriebsspionage» (vgl. insb. Art. 143, 143 bis , 144 bis , 147 StGB).
Der Entscheid, ob Anzeige erstattet wird oder nicht, liegt bei den Vorgesetzten und ev. dem Personaldienst,
nicht jedoch beim Informatikdienst. Es besteht keine Anzeigepflicht, es ist jedoch empfehlenswert,
zumindest im Zusammenhang mit Offizialdelikten, Anzeige zu erstatten, um die Gefahr der Mittäterschaft
zu verhindern. Da ein Missbrauch vorliegt, darf der Arbeitgeber die verdächtigte Person identifizieren
und Anzeige gegen sie erstatten. Das weitere strafrechtliche Vorgehen ist Sache der zuständigen
Behörde. Zum Beispiel kann die Anordnung einer weiteren personenbezogenen Überwachung des
Internetverhaltens zur Erhärtung des Verdachtes wegen des schweren Eingriffs in die Persönlichkeit nur
durch die zuständige Strafjustizbehörde angeordnet werden. Vom Arbeitgeber selber durchgeführte weitere
personenbezogene Verhaltensüberwachungen zur Erhärtung des Verdachtes können als unzulässige
Beweismittel im Rahmen eines Strafverfahrens betrachtet werden. Zudem können sie auch rechtliche
Folgen für den Arbeitgeber nach sich ziehen (vgl. Kapitel 11).
Der Arbeitgeber muss das Resultat der Ermittlungen gegenüber Dritten, insbesondere gegenüber den
anderen Arbeitnehmern, vertraulich behandeln.
Vorbehalten bleiben auch bei einer Straftat die arbeitsrechtlichen Sanktionen wegen Verletzung des
Nutzungsreglements (vgl. Kapitel 10).
27/42

10. Sanktionen bei Missbrauch
Wenn die Voraussetzungen und die Regeln der Überwachung eingehalten worden sind, kann der Arbeitgeber
(im Idealfall der direkte Vorgesetzte und ev. der Personaldienst) im Falle eines erwiesenen
Missbrauchs arbeitrechtliche Sanktionen gegen den fehlbaren Arbeitnehmer aussprechen. Der Arbeitnehmer
haftet für den Schaden, den er absichtlich oder fahrlässig dem Arbeitgeber zufügt (Art. 321e
OR).
In Frage kommen z. B. Abmahnungen, Sperrungen des Internetzugriffs, Schadenersatzforderungen,
Lohnkürzungen oder Versetzungen. In extremen Fällen, wie bei wiederholtem Missbrauch mit technischer
Störung trotz Abmahnung oder bei erwiesenen Straftaten kann der Arbeitgeber sogar die Entlassung
aussprechen (Art. 335 OR). Die fristlose Entlassung eines Arbeitnehmers kann nur ausgesprochen
werden, wenn dem Arbeitgeber nach Treu und Glauben die Fortsetzung des Arbeitsverhältnisses nicht
mehr zugemutet werden kann (Art. 337 OR).
Für das Aussprechen von Sanktionen sind die Vorgesetzten des fehlbaren Arbeitnehmers zuständig.
Wenn es im Überwachungsreglement vorgesehen und der Missbrauch mit absoluter Sicherheit erwiesen
ist, dürfen die Informatikdienste oder Sicherheitsbeauftragten selber Abmahnungen aussprechen sowie
Zugriffsbeschränkungen oder Löschungen vornehmen. Vor einer Löschung müssen die betroffenen Arbeitnehmer
informiert werden und soll ihnen die Möglichkeit gegeben werden, die betreffenden Dateien,
z. B. E-Mails, auf privaten Datenträgern zu speichern.
Die Sanktionen müssen der Schwere des jeweiligen Missbrauches angepasst und in ihrem Umfang bereits
im Überwachungsreglement bestimmt oder bestimmbar sein.
Ein Missbrauch muss nicht immer auf bösem Willen des Arbeitnehmers basieren. Oft stecken Neugier
und fehlende Information über die damit verbundenen Sicherheitsgefahren durch den Arbeitgeber dahinter.
Dieser trägt in solchen Fällen ein Teil der Verantwortung.
Einen wesentlichen Teil der Verantwortung für die Infektion eines Rechners trägt der Arbeitgeber auch
dann selber, wenn er kein oder kein geeignetes Antivirusprogramm installiert hat. Der Arbeitgeber muss
dafür sorgen, dass das Antivirusprogramm regelmässig automatisch aktualisiert wird (insb. die Definitionsdateien)
und vom Arbeitnehmer nicht deaktiviert werden kann. Auch für sonstige mangelnde Sicherheitsvorkehrungen
trägt der Arbeitgeber einen Teil der Verantwortung.
Wenn kein Nutzungsreglement mit klar definierten Unterscheidungskriterien zwischen zulässiger beruflicher
Informationsbeschaffung und unzulässiger privater Surftour vorhanden ist, wird es in der Praxis
nicht leicht sein, eine Internetnutzung für erlaubt oder unerlaubt zu erklären. In solchen Fällen dürfen
Sanktionen gegen einen Arbeitnehmer nur dann ergriffen werden, wenn ein klarer Missbrauch vorliegt.
Bei Mangel eines Nutzungsreglements sollte der Arbeitnehmer nur für vorsätzlich oder grobfahrlässig
herbeigeführte Schäden haften.
Die IP-Adresse und somit in der Regel auch die Identität des fehlbaren Arbeitnehmers kann bewusst
vertuscht werden. Der Arbeitgeber verpflichtet sich, arbeitsrechtliche Sanktionen nur bei 100%-iger Sicherheit
über die Identität des fehlbaren Arbeitnehmers zu treffen. Die Gefahr der Identitätsaneignung
kann durch zeitgerechte Aktivierung eines Bildschirmschoners mit Passwortschutz stark vermindert werden.
28/42

Vorbehalten bleibt die strafrechtliche Verfolgung durch die zuständige Behörde, wenn ein Straftatbestand
vorliegt.
Was die Beweislast betrifft, gilt folgende Regelung: Der Arbeitgeber muss die Verletzung der Pflichten
des Arbeitnehmers und den daraus resultierenden Schaden beweisen. In der Folge kann der Arbeitnehmer
den Beweis seiner Unschuld oder einer nur leichten Schuld erbringen (Art. 97 OR) 21.
29/42

11. Ansprüche des Arbeitnehmers bei unzulässiger
Überwachung
Wenn der Arbeitgeber die einschlägigen Voraussetzungen und Regeln bei der Überwachungen der Internet-
und E-Mail-Aktivitäten der Arbeitnehmer nicht einhält, so kann dies als widerrechtliche Persönlichkeitsverletzung
gerichtlich angefochten werden (Art. 15 und 25 DSG). Für die Beweislast gilt Art. 97
OR. Der betroffene Arbeitnehmer kann seine Ansprüche (Feststellung der Widerrechtlichkeit, Schadenersatz,
usw.) zuerst beim Arbeitgeber geltend machen. Geht dieser nicht auf die Forderungen des Arbeitnehmers
ein, so kann der Arbeitsrichter angerufen werden. Dieser wendet in der Regel ein rasches
und kostenloses Verfahren an. Auch die arbeitsrechtlichen Sanktionen, die der Arbeitgeber aufgrund
einer missbräuchlichen Überwachung ausgesprochen hat, können angefochten werden (z. B. missbräuchliche
Kündigung, Art. 336 OR).
Dem Arbeitgeber können im Falle einer missbräuchlichen Überwachung auch strafrechtliche Folgen
drohen, z. B. infolge einer Verletzung des Verhaltensüberwachungsverbots (vgl. Art. 59 Abs. 1 lit. a des
Arbeitgebergesetzes, ArG, SR 822.11) oder bei unbefugtem Beschaffen von Personendaten (Art.
179 novies StGB).
Zu den unzulässigen Überwachungen gehören insbesondere die personenbezogene Auswertung der
Protokollierungen ohne vorherige Information der Arbeitnehmer und/oder ohne Feststellung eines Missbrauchs
sowie der Einsatz von Spionprogrammen.
30/42

Anhang A: Situationsschema
Wardriving
Abbildung 1
Wireless LAN
Laptop
Demilitarisierte
Zone
Internet
Intrusion Detection
System (IDS)
Wireless LAN
VoIP
Laserdrucker
Telefon
Server
Access Point
HTTP Server
Proxy Server
LAN
Internal firewall
External firewall
(NAT)
Intranet Server
Server
Server
Computer:
- Antivirus
- IP DNS
- Sniffer
Internal server:
- Diskquotas
FTP Server
Mail Server
Infrared
Bluetooth
DHCP Server
VPN Router
Hacker
Palm-Top
Intranet
DNS Server
Modem
pool
M ode m Bank
Modem
VPN Router
Teleworker
Reseller
Log Files
Extranet
ISDN modem
Branch Office
31/42

Anhang B: Voraussetzungen und Ablauf
B.1 Die Voraussetzungen der Überwachung
Abbildung 2
32/42

B.2 Der Ablauf der Überwachung
Abbildung 3
33/42

B.3 Das Auswertungsverfahren
Abbildung 4: Vgl. Kapitel 8.3
34/42

Anhang C: Musterreglement über die Surfen- und E-Mail-
Überwachung am Arbeitsplatz
In diesem Musterreglement ist der Text in normaler Schrift verfasst, die Erklärungen und Hinweise zu
notwendigen Ergänzungen in kursiver Schrift.
C.1 Zweck und Geltungsbereich
C.1.1 Zweck
Dieses Reglement bezweckt den Schutz der Interessen von Arbeitgeber und Arbeitnehmer bei der Überwachung
vom Surfen und vom E-Mail am Arbeitsplatz.
C.1.2 Geltungsbereich
Dieses Reglement gilt für alle internen und externen Arbeitnehmer der Firma.
C.2 Interessen und Risiken des Arbeitgebers und Arbeitnehmers
C.2.1 Interessen und Risiken des Arbeitgebers
Durch Benutzung des vernetzten Computers am Arbeitsplatz können folgende Interessen und technische
Einrichtungen unserer Firma beeinträchtigt werden:
• Speicherkapazität und Netzwerkbandbreite durch übermässige Internet- und E-Mail-Nutzung;
• Daten- und Anwendungssicherheit (Verfügbarkeit, Integrität, Vertraulichkeit) durch Einfuhr von Viren,
Würmern, Trojanischen Pferden oder Installation von fremden Programmen;
• Arbeitszeit und andere finanzielle Interessen (Produktivitätsverluste, Kostensteigerung für zusätzliche
Mittel und/oder Leistungen, Netzkosten, usw.);
• weitere rechtlich geschützte Interessen, wie Ruf, Fabrikations- und Geschäftsgeheimnisse oder Datenschutz.
C.2.2 Interessen und Risiken des Arbeitnehmers
Die Informations- und Kommunikationsinteressen des Arbeitnehmers, die mit der Benutzung des Internet
und E-Mail am Arbeitplatz verbunden sind, sind u. a. mit arbeits-, datenschutz- und gesundheitsschutzrechtlichen
sowie wirtschaftlichen Risiken verbunden.
35/42

C.3 Technische Schutzmassnahmen und Protokollierungen
C.3.1 Technische Schutzmassnahmen
Folgende technische Schutzmassnahmen werden in unserer Firma eingesetzt:
- ...
- ...
- ...
Kapitel 3 unseres Leitfadens listet die wichtigsten technischen Schutzmassnahmen auf.
C.3.2 Protokollierungen
Unsere Informatikmittel führen Protokollierungen über die wichtigsten durchgeführten Aktivitäten durch.
Eine Protokollierung definiert sich als fortlaufende Aufzeichnung der Randdaten «wer», «was», «wann»
und findet in unserer Firma an folgenden Stellen statt:
- ...
- ...
- ...
Hier muss das Unternehmen die für ihn nötigen Protokollierungen, deren Zweck, Inhalt und Aufbewahrungsdauer
angeben. Damit kommt die Firma ihrer Informationspflicht über die Datenbearbeitungen und
–sammlungen gemäss Art. 4 Abs. 2 DSG nach. Fehlt diese Information, so sind die Protokollierungen
beim Eidg. Datenschutz- und Öffentlichkeitsbeauftragten gemäss Art. 11 Datenschutzgesetz anzumelden.
Kapitel 4 sowie Anhang A unseres Leitfadens informieren über die wichtigsten Protokollierungsarten.
Die Protokollierung von privaten E-Mails enthält nur die E-Mail-Adresse des Arbeitnehmers, den Vermerk
«privat», das Datum und die Zeitangaben.
C.4 Nutzungsregelung
Ob Arbeitnehmer das Recht haben, am Arbeitsplatz Internet und E-Mail für private Zwecke zu nutzen,
hängt in erster Linie vom Willen des Arbeitgebers ab. Ähnlich wie in anderen Bereichen des Arbeitsverhältnisses
hat er ein Weisungsrecht. Der Umfang der Nutzungsberechtigung kann je nach Arbeitnehmerkategorie
und ihren beruflichen Bedürfnissen unterschiedlich sein.
Kapitel 5 unseres Leitfadens gibt Anhaltspunkte, wie ein Unternehmen das Surfen und E-Mail am Arbeitsplatz
regeln kann. In diesem Kapitel sind konkrete und unmissverständliche Regeln aufzustellen.
Die Nutzungsregelung ist bei Bedarf zu aktualisieren.
36/42

C.5 Überwachungsregelung
C.5.1 Vorrang technischer Schutzmassnahmen
Unsere Firma verpflichtet sich, in erster Linie technische Schutzmassnahmen gegen Missbrauch und
technischen Schaden einzusetzen.
Sie passt die technischen Schutzmassnahmen regelmässig dem neusten Stand der Technik an. Die Anpassung
erfolgt auch nach einer technischen Störung.
Nur wenn ein Missbrauch trotz technischen Schutzmassnahmen nicht verhindert werden kann, darf sie
personenbezogene Auswertungen der Internet- und E-Mail-Protokollierungen vornehmen.
Unsere Firma verzichtet auf den Einsatz von Spionprogrammen.
C.5.2 Auswertung der Protokollierungen
Zur Kontrolle der Einhaltung der Nutzungsregelung wertet unsere Firma die Protokollierungen in anonymer
oder pseudonymer Form aus.
Bei der anonymen Auswertung geht es um die statistische Analyse der Protokollierungen nach folgenden
Kriterien: (Hier hat das Unternehmen oder die Verwaltungseinheit die in Frage kommenden Kriterien
anzugeben, vgl. Kapitel 8.3 des Leitfadens).
Die pseudonyme Auswertung erfolgt nur stichprobenartig. Hier hat die Firma den Zeitplan und die Zeitspanne,
in welcher die Stichprobe erfolgt, anzugeben (vgl. dazu Kapitel 8.4.1 des Leitfadens).
Um die Anonymität und Pseudonymität zu gewährleisten, wird unsere Firma die untersuchte Personenmenge
genügend gross halten und die Protokollierungen von der Korrespondenzliste physisch und funktionell
getrennt aufbewahren (vgl. Kapitel 8.3 des Leitfadens).
Wird bei der anonymen oder pseudonymen Auswertung ein Missbrauch festgestellt oder entsteht ein
Missbrauchsverdacht, so werden die Auswertungen der Protokollierungen durch Verknüpfung mit der
Korrespondenzliste namentlich ausgewertet. Als Missbrauch wird eine Verletzung des Nutzungsreglements
verstanden. Die Sanktionen gemäss § 5.8 dieses Reglements können ergriffen werden.
Erhärtet sich ein Missbrauchsverdacht nicht, so stellt unsere Firma die namentliche Auswertung der Protokollierung
sofort ein.
Hier hat die Firma anzugeben, wer für die namentliche Auswertung der Protokollierung zuständig ist. In
der Regel übernimmt der Datenschutzberater der Firma diese Funktion (vgl. Anhang B 3).
Wenn eine Straftat durch Auswertung der Protokollierungen oder durch andere Hinweise festgestellt oder
vermutet wird, sichert unsere Firma die entsprechenden Protokollierungen. Sie behält sich das Recht
vor, Anzeige gegen die betroffene Person zu erstatten. Das weitere Vorgehen ist Sache der zuständigen
Strafjustizbehörde. Unsere Firma verpflichtet sich, das Resultat der Ermittlungen gegenüber unberechtigten
Dritten, insbesondere gegenüber den anderen Mitarbeitern, vertraulich zu behandeln.
37/42

Der Entscheid, ob Anzeige erstattet wird oder nicht, liegt bei den Vorgesetzten, nicht bei den Informatikdiensten.
Es besteht keine Anzeigepflicht. Es ist jedoch empfehlenswert, zumindest im Zusammenhang
mit Offizialdelikten, Anzeige zu erstatten, um die Gefahr der Mittäterschaft zu verhindern.
C.5.3 Überwachung im Rahmen der Gewährleistung der Sicherheit und Funktionstüchtigkeit
des betrieblichen EDV-Systems oder aufgrund anderer Hinweise
Manifestiert sich eine Störung des EDV-Systems trotz technischen Schutzmassnahmen, können bei der
Suche nach deren Ursache die Protokollierungen beigezogen werden.
Stellt die Ursache der Störung einen Missbrauch dar, kann der identifizierte Mitarbeiter gemäss § 5.8
dieses Reglements sanktioniert werden.
Stellt man einen Missbrauch fest oder entsteht ein Missbrauchsverdacht durch andere Hinweise, können
falls nötig die entsprechenden Protokollierungen oder deren Auswertungen beigezogen werden. Bei erwiesenem
Missbrauch können die Sanktionen gemäss § 5.8 dieses Reglements ergriffen werden.
C.5.4 Unterscheidung zwischen private und geschäftliche E-Mails
Private E-Mails sind von den internen und externen Absendern durch die Vermerkoption «privat» zu
kennzeichnen.
Die Einsichtnahme und weitere Bearbeitung von E-Mails, welche als «privat» gekennzeichnet sind, bleibt
unserer Firma verwehrt.
Wenn kein Unterscheidungsvermerk zwischen privaten und geschäftlichen E-Mails besteht und die private
Natur eines E-Mails aufgrund der Adressierungselemente nicht erkennbar und nicht anzunehmen
ist, darf unsere Firma davon ausgehen, dass das E-Mail geschäftlich ist. Bestehen Zweifel über die Natur
eines E-Mails, ist sie mit dem Angestellten zu klären. Interne und externe Absender sind darüber
ausdrücklich zu informieren.
Für einen besseren Schutz privater E-Mails empfiehlt die Firma, einen webbasierten, verschlüsselten E-
Mail-Dienst zu benutzen.
Ob internetbasierte, verschlüsselte E-Mail-Dienste überhaupt benutzt werden dürfen, hängt vom Nutzungsreglement
ab. Ist die private Internetnutzung verboten, so fällt diese Möglichkeit weg.
Die Firma kann auch zur besseren Unterscheidung zwischen privaten und geschäftlichen E-Mails die
namenlose, funktionelle Adressierung für die Geschäftskorrespondenz einführen (vgl. Kapitel 8.5.2).
C.5.5 Die Überwachung des geschäftlichen E-Mail-Verkehrs
Unsere Firma hat das Recht, die geschäftlichen E-Mails zu protokollieren und bei Bedarf zu sichern.
Die Protokollierung der geschäftlichen E-Mails betrifft u. a. die Betreffzeile, Datum, Zeit, Absender- und
Empfängeradressen.
38/42

C.5.6 Die E-Mail-Verwaltung bei Abwesenheiten eines Mitarbeiters
Bei Abwesenheiten definiert der Mitarbeiter einen Stellvertreter mit abgestufter Berechtigung zur Einsicht
und Weiterbearbeitung der geschäftlichen, eingehenden e-Mails.
Die als «privat gekennzeichneten E-Mails sind für den Stellvertreter nicht sichtbar.
Die externen Absender müssen informiert werden, dass private E-Mails als solche zu kennzeichnen
sind, ansonsten sie durch den Stellvertreter eingesehen werden können.
C.5.7 Die E-Mail-Verwaltung beim Austritt eines Mitarbeiters
Vor dem Austritt hat der Mitarbeiter die noch hängigen Geschäfte wie E-Mails intern weiterzuleiten.
Der Mitarbeiter hat die Übergabe sämtlicher Geschäftsdokumente an die Firma zu bestätigen.
Der austretende Mitarbeiter hat die Möglichkeit, seine privaten E-Mails und andere Dokumente auf private
Datenträger zu speichern und aus den Servern der Firma zu löschen.
Beim Austritt (oder Todesfall) ist spätestens am letzten Arbeitstag sein E-Mail-Account (wie übrigens
auch alle anderen EDV-Accounts) zu sperren und sein Briefkasten (wie alle anderen persönlichen Datenträger)
zu löschen.
Absender, welche E-Mails an die gesperrte E-Mail-Adresse schicken, werden automatisch informiert,
dass die Empfängeradresse hinfällig ist. In der automatischen Antwort wird eine geeignete Ersatz-E-
Mail-Adresse der Firma angegeben.
C.5.8 Sanktionen bei Missbrauch
Wenn die Voraussetzungen und die Regeln der Überwachung eingehalten worden sind, kann die Firma
im Falle eines erwiesenen Missbrauchs arbeitsrechtliche Sanktionen gegen den fehlbaren Mitarbeiter
aussprechen.
Hier hat das Unternehmen die Sanktionen aufzulisten, die es im Falle eines Missbrauchs zu treffen gedenkt.
In Frage kommen z. B. Abmahnungen, Sperrungen des Internetzugriffs, Schadenersatzforderungen,
Streichung von Sonderprämien, usw. [vgl. dazu Kapitel 10 unseres Leitfadens]. In extremen Fällen,
wie bei wiederholtem Missbrauch mit technischer Störung trotz Abmahnung oder bei erwiesenen Straftaten
kann der Arbeitgeber sogar die Entlassung aussprechen. Die fristlose Entlassung eines Arbeitnehmers
kann nur ausgesprochen werden, wenn dem Arbeitgeber nach Treu und Glauben die Fortsetzung
des Arbeitsverhältnisses nicht mehr zugemutet werden kann. Die Sanktionen müssen der Schwere des
jeweiligen Missbrauches angepasst und in ihrem Umfang bereits in diesem Überwachungsreglement
bestimmt sein.
Vor einer Löschung missbräuchlich erworbenen Dateien werden die betroffenen Arbeitnehmer informiert
und es wird ihnen die Möglichkeit gegeben, die betreffenden Dateien, z. B. E-Mails, auf privaten Datenträgern
zu speichern.
39/42

C.5.9 Ansprüche des Mitarbeiters bei unzulässiger Überwachung durch die Firma
Bei Verletzung der Voraussetzungen und Regeln der Überwachung der Surf- und E-Mail-Aktivitäten,
stehen dem betroffenen Mitarbeiter die zivilrechtlichen Ansprüche wegen Persönlichkeitsverletzung zu
(vgl. Art. 28 ff ZGB).
Der betroffene Arbeitnehmer kann im Falle einer missbräuchlichen Überwachung durch die Firma auch
strafrechtliche Mittel ergreifen. Zu denken ist insbesondere an die Anzeige wegen Verletzung des Geheim-
oder Privatbereiches durch Aufnahmegeräte (Art. 179 quater StGB) oder wegen unbefugten Beschaffens
von Personendaten (Art. 179 novies StGB).
C.5.10 Weitere Bestimmungen
Unsere Firma schult regelmässig die Mitarbeiter über die Risiken im Zusammenhang mit der Benutzung
von Internet und E-Mail.
Sowohl die Informatikdienste als auch die Vorgesetzten unserer Firma haben die Personendaten, die sie
im Zusammenhang mit einer Überwachung bearbeiten, durch angemessene technische Massnahmen
gegen unbefugte Zugriffe zu schützen.
Sie sorgen insbesondere für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Personendaten.
Der Arbeitnehmer darf von der Firma jederzeit Auskunft darüber verlangen, ob und welche Daten über
ihn bearbeitet werden.
Personendaten dürfen nicht ohne Einwilligung der betroffenen Personen oder einen anderen Rechtfertigungsgrund
an unberechtigte Dritte bekannt gegeben werden. Die Arbeitskollegen der betroffenen Person
gelten als Dritte.
Der Firma obliegt keine gesetzliche Aufbewahrungspflicht im Zusammenhang mit Protokollierungen. Zu
Beweissicherungszwecken dürfen die Protokollierungen für eine beschränkte Zeit, in der Regel nicht
länger als vier Wochen, aufbewahrt werden.
Die Aufbewahrungsdauer hängt vom Zweck der Protokollierung ab. Im Rahmen von Sanktionsverfahren
oder Strafverfolgungen dürfen sie bis zum Ablauf der entsprechenden Rechtsmittelfristen aufbewahrt
werden.
40/42

Anmerkungen
1 URL: Uniform Resource Locator wie z. B. http://www.unerwuenscht.ch.
2 Duden Informatik, 2. Auflage, Mannheim, Leipzig, Zürich, Wien, 1993.
3 Z. B. das Programm Stripes.exe bei MS-DOS.
4 Vgl. dazu auch Leitfaden des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten über die technischen
und organisatorischen Massnahmen.
5 Service Pack, Service Release, Hotfixes, Patches, usw.
6 Z. B. Cookies ablehnen oder Javascript ausschalten, um E-Mail-Wiretaps (Abhörung) zu verhindern.
7 Die Firewall kann mit der sogenannten Network Address Translation NAT die persönlichen IP-
Adressen durch eine öffetliche Firmen-IP-Adresse ersetzen, und somit einen Hackerangriff von aussen
verhindern.
8 Http, ftp, telnet, nntp, smtp, etc.
9 Ghost Keylogger, WinWhatWhere Investigator, PC Activity Monitor, usw.
10 Beim Schliessen des Internet-Browsers werden die Protokollierungsprogramme nicht informiert.
11 Motion Fritz Reimann vom 12. Dezember 1984 betreffend Persönlichkeitsschutz des Arbeitnehmers.
12 Vgl. auch schriftliche Beantwortung der Motion durch den Nationalrat am 20. Februar 1985 sowie
Bemerkungen des Wegleitungsentwurfes zu Art. 26 ArGV 3.
13 Auch die Entstehungsarbeiten zu Art. 26 ArGV 3 wiesen im Zusammenhang mit der Telefonüberwachung
zu Recht darauf hin, dass erst bei einem konkreten Missbrauch die vollständigen Randdaten des
Telefonverkehrs personenbezogen ausgewertet werden dürfen.
14 Vgl. dazu Leitfaden des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten über die technischen und
organisatorischen Massnahmen.
15 Vgl. 9. Tätigkeitsbericht des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten, 2001/02, Kapitel
2.2.1, S. 19ff. insb. S. 21.
16 Wird bspw. ein wiederholtes Zugriff auf die Homepage einer Zeitung durch das gleiche Pseudonym
festgestellt, klärt man durch namentliche Auswertung ab, ob die betreffende Person zugriffsberechtigt
war. Je nach beruflicher Funktion (z. B. Presseverantwortlicher) kann der Zugriff gerechtfertigt sein.
17 Vgl. 5. Tätigkeitsbericht des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten, 1997/98, S. 42/178.
18 Die Verschlüsselung kann bspw. durch Benutzung von PGP-Software (Pretty Good Privacy) oder
webbasierter E-Mail-Dienste wie Hushmail.com gewährleistet werden, wobei ein vollständiger Schutz
nur erreicht wird, wenn sowohl Absender wie auch Empfänger einen verschlüsselten E-Mail-Dienst benutzen.
41/42

19 Beispiel einer Austrittserklärung des Arbeitnehmers: «Ich bestätige hiermit, dass ich alle Eigentümer
der Firma, inkl. geistige Eigentümer, sowohl physischer als auch elektronischer Art, zurückgegeben habe».
20 Die Spezialisten beraten Untersuchungsbehörden im Bereich Computerkriminalität und computergestützter
Kriminalität. Vorermittlungen, und technische Überwachungsmassnahmen werden von Ihnen in
Funktion eines Sachverständigen unter richterlicher Einbindung in das Amtsgeheimnis begleitet. Dabei
sind die Spezialisten für die gerichtsverwertbare Beweissicherung von digital gespeicherten Daten verantwortlich.
In Form eines Gutachtens erstatten Sie der Untersuchungsbehörde Bericht über Ihre Analysen
und geben Empfehlungen ab. Sie tragen dabei eine sehr hohe Verantwortung und können Ihre Ergebnisse
auch vor Gericht vertreten.
21 Vgl. Brunner, Waeber in «Commentaire du contrat de travail», Schweizerischer Gewerkschaftsbund,
Lausanne 1996, S. 42ff
42/42